李昆侖

北京振邦律師事務(wù)所合伙人王甫律師最近連續(xù)受到黑客攻擊。他的郵箱密碼被盜，導(dǎo)致新浪微博、博客、信箱均無法登錄。王甫向北京市公安局報警，警方答復(fù)“因無任何財產(chǎn)損失而無法處理，建議找網(wǎng)絡(luò)服務(wù)商”。而網(wǎng)絡(luò)服務(wù)商則表示，因?yàn)楹诳统掷m(xù)攻擊王甫，連累了他所在小區(qū)的其他用戶，很多人都因?yàn)榈艟€而不滿。對于自己的遭遇，王甫說，“如果你不搬家或者不更換網(wǎng)絡(luò)服務(wù)商，這種問題很難解決?！?/p>

在現(xiàn)代社會，密碼充斥在人們的生活中，翻開錢包，打開電腦，走進(jìn)工作場所，信用卡、手機(jī)、網(wǎng)銀、郵箱、保險柜、電子門禁…… 別的不說，光一個手機(jī)中，就有手機(jī)鎖定密碼、藍(lán)牙密碼、飛信密碼、通訊記錄查詢密碼等等。然而，如此高密度的密碼使用，卻未必能保證我們的安全。

在本刊發(fā)稿時，新浪微博輸入關(guān)鍵詞“密碼被盜”，可以找到55萬多條相關(guān)的結(jié)果。其中聲稱密碼被盜的既有一般用戶，也不乏經(jīng)過認(rèn)證的各種職業(yè)人士，如演藝人員、商人、律師、作家、警察等等。

密碼的真相

最理想的密碼設(shè)置應(yīng)該既容易記憶又不易被破解，可人們在實(shí)際中往往更注重前者，卻容易忽視后者。但想象不到的是，圍繞著“密碼”，已經(jīng)形成了一個新興的產(chǎn)業(yè)，有多少人在對別人的密碼虎視眈眈！

曾經(jīng)有黑客從一個叫RockYou的社交游戲網(wǎng)站偷盜了3200萬個密碼，結(jié)果發(fā)現(xiàn)：其中有36.5萬人使用的密碼是“123456”或“12345”。根據(jù)密碼設(shè)置的可預(yù)見性，黑客編制了“常用密碼辭典”，這給那些試圖破解密碼的人提供了方便。

因?yàn)楹茈y獲得足夠大的樣本，因此研究者難以準(zhǔn)確地描述人們選用密碼的不安全性，究竟低到怎樣的一個程度。像RockYou這樣被入侵的網(wǎng)站提供了較大的樣本，但是使用這類信息進(jìn)行分析研究則存在著道德方面的問題。

最近，一篇提交給某電腦安全研討會的論文引起人們的注意，作者披露了一些過去不為人知的有關(guān)密碼的真相。這個研討會是紐約的專業(yè)團(tuán)體“電子和電氣工程師協(xié)會”組織的。牛津大學(xué)的約瑟夫·邦努和互聯(lián)網(wǎng)公司雅虎合作，得到了迄今為止最大的、包括7000萬個密碼的樣本。雖然樣本中的用戶都是匿名的，但這項(xiàng)研究還是發(fā)現(xiàn)了一些很有意思的現(xiàn)象。比如，年齡較大的用戶比年輕用戶的密碼安全度要高（似乎越是那些熟諳技術(shù)的年輕人，越不在意這些事）；使用德語和韓語的用戶，其設(shè)置密碼的安全度是所有用戶中最高的，而使用印尼語的用戶的密碼安全度最低。與保護(hù)敏感信息（如信用卡）有關(guān)的密碼，只比不太重要的密碼（如游戲用戶）的安全度略高一點(diǎn)兒；在用戶注冊時出現(xiàn)的密碼安全度提示實(shí)際上不起什么作用；那些賬戶曾被入侵過的用戶在重置密碼時，并不比那些沒遇到過問題的用戶謹(jǐn)慎多少。

但是最讓電腦安全研究者感興趣的還是對這一樣本的總評：盡管各個用戶組的情況有所不同，但這7000萬用戶的密碼從總體上說仍然具有高度的可預(yù)測性，無論是對于整個樣本來說，還是對于各個用戶組來說，都可以編制出有效用于破解密碼的“詞典”。領(lǐng)導(dǎo)這一研究的約瑟夫·邦努坦率地說：“黑客猜測十次就可以破解的密碼，大約占總樣本的1%?！边@在黑客看來，顯然是一個相當(dāng)“令人鼓舞”的結(jié)果。

防不勝防

為了避免遭遇王甫律師那樣的無奈，就要設(shè)置一個安全且便于記憶的密碼。然而便于記憶的密碼往往有規(guī)律可循，如自己或家人的生日、電話號碼，這些密碼都不安全。要想安全，就得沒有規(guī)律性，如一串散亂的數(shù)字、字母、標(biāo)點(diǎn)符號組合。然而這樣的密碼，別人是猜不到了，自己也不容易記住。

為了增加安全性和方便性，用戶可以將自己的密碼進(jìn)行分級，如分為三級：將在論壇等通過非實(shí)名認(rèn)證的注冊賬號，設(shè)置一個安全性較低的密碼，用一個密碼可以來往于各個網(wǎng)站之間；為郵箱、支付寶、銀行賬號設(shè)置比較復(fù)雜的密碼，密碼可以由一句中文或者英文的每個字的首字母構(gòu)成，配以標(biāo)點(diǎn)符號。為了更安全一些，還可以將網(wǎng)上的賬戶密碼和隨身攜帶的手機(jī)進(jìn)行綁定，通過手機(jī)綁定，密碼被修改或者忘記，都可以通過手機(jī)短信找回。

用戶上網(wǎng)時也應(yīng)該注意識別網(wǎng)站的安全級別，可以在瀏覽器上安裝一個插件，每訪問一個網(wǎng)站就會提示該網(wǎng)站的安全級別。訪問安全級別低的網(wǎng)站就有可能被木馬入侵，這樣無論多安全的密碼，都會通過木馬泄露給黑客。

還有一種替代方法是使用多詞密碼，又稱為“聯(lián)詞口令”。在密碼中使用幾個詞而不只是一個詞，使黑客必須猜測更多的字母。但前提是，選取的聯(lián)詞不會被熟練使用某種“聯(lián)詞字典”的人所破解。

邦努和他的同事曾經(jīng)分析了網(wǎng)購商亞馬遜所使用的聯(lián)詞口令系統(tǒng)，亞馬遜在2009年10月到2012年2月容許它的美國用戶使用這個系統(tǒng)。他們發(fā)現(xiàn)，雖然聯(lián)詞口令比密碼的安全度確實(shí)高，但并不像預(yù)期的那樣理想。由四五個隨機(jī)選取的詞組成的口令相當(dāng)安全，但是要記住它，比記住幾個隨機(jī)選取的密碼還難。這又一次說明，人們對“容易記憶”的需要總是使黑客有機(jī)可乘。

在中國科學(xué)院信息安全國家重點(diǎn)實(shí)驗(yàn)室進(jìn)行研究工作的張令臣表示，“密碼其實(shí)應(yīng)該稱為口令，它是一種鑒別用戶身份的簡單易行的手段。在一些并不太重要或者安全要求不高的場合，口令就足以勝任了。比如在某個論壇注冊一個賬號，只是為了發(fā)表一些看法，看帖回帖，就算丟失或被人盜用賬號也無關(guān)緊要。而在安全需求更高的場合，可以聯(lián)合其他辦法提高安全性，比如綁定手機(jī)號，登錄時使用手機(jī)驗(yàn)證碼，再如使用USB Key、電子口令卡、動態(tài)口令卡等。”

網(wǎng)站的責(zé)任

目前，惡意盜取密碼的方式主要有以下幾種。暴力破解，黑客們將一些常用的數(shù)字組合如12345，以及常見的單詞組合匯編成一本密碼詞典，再通過程序?qū)~戶的密碼進(jìn)行猜測。登錄網(wǎng)站時，登錄密碼的頁面會提示使用驗(yàn)證碼，就是為了確認(rèn)是自然人在登錄網(wǎng)站，其目的就是避免這種情況的發(fā)生。第二種方式是通過木馬盜取密碼，木馬利用計算機(jī)程序漏洞侵入用戶電腦中，潛伏下來，記錄賬號密碼，再將這些信息傳輸給木馬的“主人”。第三種方式是通過“網(wǎng)絡(luò)釣魚”來盜取密碼，釣魚者向用戶發(fā)送帶有欺詐性的電子郵件，通知其更改密碼，而用戶更改密碼的過程就是向“釣魚人”告訴密碼的過程。

一個明顯有效的防范措施，是在密碼輸入一定次數(shù)仍不正確后，禁止登錄網(wǎng)站，就像自動取款機(jī)實(shí)行的辦法一樣。雖然一些超大網(wǎng)站如谷歌和微軟等采取了這樣的措施，但很多網(wǎng)站并沒有這樣做。邦努和他的同事在2010年調(diào)查了150個大型網(wǎng)站，其中有126個沒有猜測次數(shù)的限制。

對于有些網(wǎng)站來說，因?yàn)闆]有什么特別有價值的東西如信用卡信息需要保護(hù)，密碼安全可能不是一個十分重要的問題。但是對密碼安全的寬松態(tài)度，會給那些安全性能好的網(wǎng)站也帶來問題，因?yàn)槿藗兺ǔＴ谌舾刹煌木W(wǎng)站使用同樣的密碼。

張令臣認(rèn)為，網(wǎng)站應(yīng)該在密碼安全方面承擔(dān)更大的責(zé)任，“不可否認(rèn)，網(wǎng)民的安全意識參差不齊。但是就算網(wǎng)民深知如何設(shè)置安全的口令，很多人也會棄之不用，因?yàn)槭褂脮r太麻煩。我認(rèn)為，保證安全性是Web應(yīng)用提供者應(yīng)該承擔(dān)的，而不應(yīng)該假設(shè)網(wǎng)民愿意使用復(fù)雜的口令?！?/p>

360網(wǎng)站的一份報告顯示，2011年我國網(wǎng)絡(luò)安全水平總體偏低，國內(nèi)存在高危漏洞的網(wǎng)站約占36%，中危漏洞的網(wǎng)站約占16%，而安全的網(wǎng)站只有48%。張令臣說，“Web應(yīng)用的提供者有技術(shù)，也有資源，而且處于核心。讓W(xué)eb站點(diǎn)保證高安全性，肯定比讓成千上萬的網(wǎng)民提高安全意識要更容易些?！?/p>

網(wǎng)絡(luò)安全的問題可能永遠(yuǎn)沒有最終的答案，因?yàn)槿魏伟踩胧┒际恰盁┤说摹?。?jīng)常坐飛機(jī)的人知道，人們希望安全，但又希望什么事都簡單易行，這兩者總是沖突的。只要這個沖突存在，安全就不是絕對的。