唐 磊 文 曄
密碼,成為普通民眾守護個人隱私的主要手段
也許很少人注意到,不知從什么時候開始,我們的生活已被各種密碼所包圍。
在一家保險公司做財務(wù)的姚焰的經(jīng)歷,基本上是現(xiàn)代都市人密碼生活的一個縮影。每個月辛苦掙來的薪水,放進一張半個巴掌大的卡片。密碼,是打開自己小金庫的“鑰匙”;姚焰為自己的電腦加了密碼,這道密碼像把鎖,封住了她的個人世界,這時的密碼就是隱私;姚焰是做財務(wù)的,每天都要多次憑借密碼進入自己的工作平臺,這個密碼守的是她的飯碗和公司秘密。
上網(wǎng)收發(fā)郵件、聊天、購物……都要注冊用戶,每個用戶都代表著一個“姚焰”,每個用戶名都需要一個密碼。密碼成了一張姚焰在網(wǎng)絡(luò)中與外界接觸的通行證。
現(xiàn)實生活中,要查詢自己手機費用,要輸入密碼;小區(qū)的門禁,是密碼的……“教知道真實的自己是惟一的,可密碼太多了,多得讓我在很多地方被密碼代替。沒有密碼,很多時候我就不是我自己了?!币ρ嬲f。
從銀行開始的個人密碼生活
僅僅20年前,人們完全無法想象到會陷入這樣的“密碼生活”中。1984年以前,我國民間密碼研究幾乎為空白,更別說密碼在民間的應(yīng)用了。密碼研究與使用幾乎被軍隊及機要部門壟斷。直到80年代中期,民用密碼研究才開展起來。
銀行,最早地將密碼運用到普通人中。
在存折加密之前,一般人去銀行取錢,只要數(shù)額在5萬元以下的活期存款,僅憑存折就能拿到錢,無需其他手續(xù);定期存款到期后,取款時也是如此。而數(shù)額在5萬元以上的支取,才要存款人提供身份證原件。那時候,銀行會要求用戶,在銀行的底單上印上存款人的私章——取錢的時候帶上私章,由銀行職員核對印鑒,這是最早的銀行密碼的雛形。
到了1993年,隨著電腦網(wǎng)絡(luò)的發(fā)展,銀行業(yè)務(wù)實行電腦聯(lián)網(wǎng)。其中與個人關(guān)系最緊密的是活期存款,銀行從那時開始讓儲戶設(shè)置個人密碼?!霸瓉淼脑O(shè)置密碼的規(guī)定不是硬性的,只是提示客戶,設(shè)置密碼后會比較安全。有些老人嫌麻煩,沒有設(shè),但有很多人覺得很新鮮愿意接受?!敝袊y行福州分行的曾祿清在銀行工作了近15年,中國銀行也是國內(nèi)最早實行電腦聯(lián)網(wǎng)的銀行之一。曾祿清回憶說,“剛開始怕忘掉,很多人都設(shè)計得很簡單,比如說‘1234等等?!?/p>
為了方便記憶,身份證的后幾位數(shù)、生日、電話號碼、門牌號,是那時候老百姓最常用的密碼。由于當時的技術(shù)條件有限,銀行并沒有對密碼采取嚴格的規(guī)定,只是要求在4位數(shù)以上,這不但有安全隱患,儲戶容易記混,銀行之間也容易造成混亂。后來,銀行密碼統(tǒng)一規(guī)定為6位數(shù)。
南開大學信息安全領(lǐng)域的博士張翰告訴《中國新聞周刊》,“信息化后,個人的信息都存在數(shù)據(jù)庫內(nèi),數(shù)據(jù)庫的特定性是只允許‘自己能進,這就需要密碼來保護,(密碼準入)也是最簡單的方法?!?/p>
1996年,全國銀行系統(tǒng)普及了密碼的使用和設(shè)備更替。1999年開始,銀行存取款必須使用密碼就變成了硬性規(guī)定。現(xiàn)在在多數(shù)銀行里,只要輸入密碼,憑存折或儲蓄卡,就能進行五萬元以下的支取,無需身份證。
有密碼就安全嗎?
使用密碼認證,確實讓我們在很多時候覺得方便??捎靡唤M字符代替?zhèn)€人證件,越方便就越缺乏安全感。
民用密碼最廣泛的兩個領(lǐng)域是銀行、互聯(lián)網(wǎng)?;ヂ?lián)網(wǎng)信息的防護,也經(jīng)過這樣一個從簡單到逐漸成熟的過程。
以電子郵箱為例,2000年前后,國內(nèi)各大網(wǎng)站開始大規(guī)模開發(fā)此項服務(wù),那時候網(wǎng)站對郵箱密碼的要求并不太嚴格,規(guī)定只要三個字符以上即可,有許多人就用123、ABC等做密碼。
在收到了用戶郵箱被盜的反饋后,網(wǎng)站將密碼最少數(shù)位提升至6位。每個網(wǎng)站的密碼防盜措施也都不太一樣,通常各網(wǎng)站的保護系統(tǒng)都由自己研發(fā),并有專門的部門管理。
各網(wǎng)站在用戶注冊時,都會做好很多準備,以防用戶密碼遺失。通常最常見的是提醒用戶,用字母和數(shù)字組合設(shè)置密碼,或者是讓用戶自己設(shè)計忘記密碼時出現(xiàn)的問題、答案。搜狐郵件產(chǎn)品主管李紅對《中國新聞周刊》說,“從免費到收費,再到企業(yè)郵箱,我們都根據(jù)需求,各郵箱的安全機制也不一樣?!?/p>
“我和我的同事都會把密碼分檔,比如說我自己有三個密碼:最安全的檔,就用最復(fù)雜的密碼,不僅用大小寫,還把字母數(shù)字、字符,都混合在一起用。”李紅說。
目前的網(wǎng)站密碼保護主要有:安全碼(注冊時生成的備份碼)、身份證、手機綁定等。
而用戶希望自己的密碼不易被竊取,最簡單的方法就是使用復(fù)雜冗長的密碼組合。“選阿拉伯數(shù)字當密碼,每一位上就有10種可能性,如果是四位,就有1000種可能;如果再加上26個小寫字母,26個大寫字母,再加上各種符號,那每一位上都會有成百上千種可能性,這樣密碼的安全性就更高一些?!蹦祥_大學研究“混沌加密”的張翰博士解釋關(guān)于密碼的最簡單的道理。
現(xiàn)在銀行密碼規(guī)定的6位數(shù)密碼,諾貝爾物理獎獲得者費曼曾經(jīng)推算過,要解開一個6位的保險柜密碼鎖,理論上需要至少8000次嘗試,也就是說,只要你的銀行卡、存折的密碼不被竊取,密碼被破的可能性就很小。
而在互聯(lián)網(wǎng)上,很多人密碼就沒那么保險了。
北京郵電大學信息安全中心“現(xiàn)代密碼”博士楊義先介紹說,在今天的各種計算機網(wǎng)絡(luò)上,普通密碼已經(jīng)阻擋不了黑客的進攻,每天都有大量的重要信息被轉(zhuǎn)換成一串串代碼后傳輸。如果加密的方法好的話,即使黑客們得到了這些代碼也無濟于事。但是,這種加密方法有一個致命的缺點,它等于是在“提醒”黑客“此地無銀三百兩”,告訴他們這里正在傳輸重要的信息。如果你“提醒”了黑客們你在傳輸重要信息,那么,黑客就可以有的放矢地調(diào)動若干臺計算機聯(lián)網(wǎng)進行破譯計算。
所以事實上,絕對可靠的密碼是沒有的,任何密碼都可以通過計算機的計算破譯。隨著網(wǎng)絡(luò)和計算機的普及,聯(lián)網(wǎng)并行計算的技術(shù)也日趨成熟和普及。在網(wǎng)絡(luò)上,任何一個人破解密碼的計算能力都不能低估。
民用密碼=個人隱私權(quán)利
今天,大眾已經(jīng)對密碼不勝其煩了,殊不知,那個最早提供密碼術(shù)、將其推廣到民間的科學家,直到1996年仍然在接受美國聯(lián)邦調(diào)查局的調(diào)查。
1991年,美國學者齊默爾曼設(shè)計出一種經(jīng)濟而有效的產(chǎn)品,有了它,大眾不需要密碼專家指導(dǎo)就可以給自己的信息加密,他把這個軟件叫做PGP(意思是絕對保密)。
當時的美國法律規(guī)定,密碼術(shù)屬于軍火,但齊默爾曼還是鋌而走險免費發(fā)放了這些加密軟件。此后,他被美國海關(guān)當局提訴,罪名是:“非法出口軍火,給敵對國家和恐怖分子提供進攻美國的工具”——一個軟件的威力有這么大。
伴隨著審判,一場關(guān)于個人隱私保護
的爭論貫穿了整個90年代。
多年來,警察和情報部門已經(jīng)習慣使用無線監(jiān)聽或網(wǎng)絡(luò)監(jiān)控來搜集對付恐怖分子和犯罪集團的證據(jù),但是PGP軟件的應(yīng)用直接影響了他們的監(jiān)聽效果。執(zhí)政者認為,密碼術(shù)的廣泛應(yīng)用給恐怖分子、販毒集團可乘之機。
如果不能快速破譯情報,豈不是使整個國家坐在火藥桶上?
而支持加密公眾化的是公民和密碼學家們,他們認為,人們急需使用密碼來保護個人隱私。隨著電子商務(wù)的發(fā)展,大的商業(yè)公司也加入進來,他們需要強大的密碼術(shù)使得他們能在網(wǎng)絡(luò)時代保證業(yè)務(wù)的安全。
哪一個更重要——公眾的隱私還是政權(quán)的保障?
經(jīng)過5年的斗爭,公眾和密碼學家贏得了這場信息戰(zhàn)??肆诸D政府被迫更改了法律,大陪審團也放棄了對齊默爾曼定罪的想法。
密碼技術(shù)仍在發(fā)展,“圖靈獎”(計算機界最負盛名的獎項)得主姚期智在清華做報告時說,如果量子加密能夠建立起來,量子密碼很有可能是不可破譯的。也就是說,我們擁有了“終極密碼”。理論上,由于粒子的不確定性,要破譯一個經(jīng)過量子加密的密碼很有可能就意味著將宇宙中每個原子都算上數(shù)億年。
如果量子密碼系統(tǒng)能夠?qū)崿F(xiàn),密碼的發(fā)展將會停止。它能夠保證軍隊、商業(yè)的絕對安全,可是更嚴峻的問題將擺在我們面前,政府能夠讓民眾應(yīng)用這項技術(shù)嗎?我們應(yīng)該怎樣保護我們的通訊系統(tǒng),而不是保護犯罪?量子密碼能夠?qū)㈦[私權(quán)發(fā)揮到極致,但是這到底是把我們帶入光明,還是引向深淵?
對于這些問題,清華大學技術(shù)哲學博士張成崗的態(tài)度是,“科學是中性的,最終,人要自己決定走向何方。”
懶人無密碼
像最著名的密碼英格瑪被破譯的命運一樣,新密碼在發(fā)明之初總是宣稱不可破譯,但是最終還是被破譯了。加密與解密就像洪七公遇上了歐陽鋒,經(jīng)過數(shù)百回合惡斗,至今仍打得難解難分,不分伯仲。
難怪偵探小說的鼻祖愛倫·坡說,“密碼可破!人類不可能遺出即使才智運用得當也無法解開的密碼!”
費曼是諾貝爾物理獎得主之一,二戰(zhàn)期間。他為美國軍方研究原子彈,由于生活乏味,開鎖成了他的業(yè)余愛好。
經(jīng)過推算,費曼發(fā)現(xiàn)解開一個6位的保險柜密碼鎖需要至少8000次嘗試,但在現(xiàn)實中,他往往能夠在10分鐘內(nèi)打開同事的保險柜。他說,最有效的方法不是數(shù)學,而是心理學。
后來,有個老鎖匠告訴費曼,保險柜的出廠密碼一般是“50—0—50”或者“25—5—25”,費曼用這個密碼測試了整棟原子彈大樓,他驚奇地發(fā)現(xiàn),每5個保險柜就有一個在使用原始密碼。
有一次,他甚至用常數(shù)E(e=2.71828)作為密碼,打開了29個保險柜,要知道,那里面裝的可是有關(guān)原子彈的全部資料。
密碼心理學告訴我們,人天生規(guī)懶惰!
不以為然嗎?也許你認為自己想的東西別人不會知道,那就看看這個實驗吧。
有人做一個心理試驗,他們從大學中抽出了100名學生,要他們寫下2個單詞,并告訴他們這個單詞是用于電腦的口令,且將來的使用率也很高!要求他們盡量慎重考慮!
測試結(jié)果如下:
1.用自己名字的中文拼音者多達37人,如:wangnai,zhangli,shenqin,等等。
2.用常用的英文單詞的有25人,其中許多人都用了很有特定意義的單詞,如:hello,good,happy,anything,等等。
5.用計算機的中經(jīng)常出現(xiàn)的單詞的18人,這些單詞中還包括操作系統(tǒng)的命令,如:system,command,copy,harddisk,mouse,等等。
4.用自己的出生日期7人,年月日表示法各不相同!但其中有3人用了中國常用的日期表示方法!如870205等。
上述測試中,有21人選了兩個一樣的單詞,接近相同的有33人!
當然,其他密碼也有規(guī)律可循,如12545這樣的“弱智型號碼”,如昵稱+888的“財迷型號碼”,還有直接用手機或者電話號碼的“懶惰型號碼”。
顯然,當我們設(shè)定口令時都會用自己熟悉的單詞,這樣能便于記憶,同時,我們也該想到,這也便于破譯。
(本刊記者/文曄)