D-Horse

美國國家安全局（NSA）為了破譯恐怖組織的密碼以挫敗其陰謀，擬斥巨資建造一臺可以破解一切密碼的機器：萬能解密機. 這是美國作家丹·布朗在其小說《數字城堡》中虛構的情節(jié). 以人類今日之科技實力，打造這樣一臺無堅不摧的“神器”還只是個遙遠的夢想，但如何在網絡社會中保護自己的個人隱私一直是一個現(xiàn)實的問題. 20多年來，現(xiàn)代人已經掌握了“數字城堡”——密碼的構造方法，自認為可以高枕無憂，但事實遠非如此.

越復雜的密碼越安全嗎

很不幸，答案是否定的. 人們通常認為，把密碼設得越復雜，別人就越難猜到，但這樣一來無疑增加了記憶的難度. 而對于那些企圖窺探你秘密的人來說，他們也只是想不到，而非“猜不到”. 現(xiàn)如今，還有幾個人破譯密碼是靠大腦“猜”的呢？這就正如一名科學愛好者所說的那樣：經過二十年的努力，我們成功地陷入一個誤區(qū)，那就是把密碼設得越來越難以記憶，然而卻被計算機很輕松地破解出來了.

保證密碼強度的關鍵是什么

保證密碼強度的關鍵到底是什么呢？其實，我們可以毫不懷疑地說：密碼長度.

這里引入信息學中的信息熵（我們常聽人說這個信息多、那個信息少，對信息“多少”的量化就是信息熵），用它來作為密碼強度的評估標準. 信息熵的計算公式為H=L·log2N，其中L表示密碼的長度，N的取值見下表.

在公式和表中，我們可以看到，密碼強度（H）與密碼長度（L）和密碼包含字符的種類（N）這兩個因素有關. 然而它們對密碼強度的影響是呈指數倍的關系. 舉個例子，假設密碼長度的單位為比特，8個比特即為一個字節(jié)（即輸入密碼時的一個字符，一個字節(jié)可以代表256個不同字符），如果某臺超級計算機的計算能力為每秒能完成256次組合運算，破解8個字符組成的密碼僅需4分16秒. 當密碼長度達到16個字符的時候，暴力破解它需要149 745 258 842 898年！要知道太陽的壽命也只有約10 000 000 000年，而目前世界上速度最快的計算機KComputer也只能每秒完成約253次運算. 當然，這是一個極端化的例子. 事實上，可以用來當密碼使用的字符僅有95個而已（26個小寫字母，26個大寫字母，10個數字以及33個標點符號）.

更大的風險所在：萬能鑰匙

在現(xiàn)實生活中，我們都選擇“一把鑰匙開一扇門”. 誰都不會希望有一把鑰匙既能用來開家門，又能用來開車門、公司的門、宿舍的門，因為這把“萬能鑰匙”一旦丟失，損失將是慘重的. 隨著網絡社會的發(fā)展，如今大多數人都握有十多個網站的賬號，你是繼續(xù)選擇“一把鑰匙開一扇門”的策略，還是改用“萬能鑰匙”的策略呢？如果是前者，那么無疑將增加你的記憶負荷;如果是后者，安全隱患是顯而易見的.

其實，許多人都意識到了這一點，并且為了避免這種情況，相當一部分人選擇將密碼分為兩部分，一個主要部分（比如是123456），另一部分則根據賬戶而定：QQ的密碼就設為qq123456，而gmail的密碼則是gmail123456等等. 但如此直白的設置，頗有掩耳盜鈴的味道，一旦一個賬戶失竊，看穿這個規(guī)律，也不過是一秒鐘的事情而已.

與黑客的博弈

為了規(guī)避上述種種風險，大家開始設定許多個又長又復雜的密碼. 但復雜的長密碼并不容易記住，更何況是要記住好幾個這樣的密碼（請問有誰沒有忘記過密碼呢）. 在經歷了多次遺忘密碼的痛苦之后，人們又開始傾向性地選擇那些容易讓自己記住的信息作為自己的密碼，比如自己或親人的姓名、生日、電話號碼等等. 但這恰恰把安全隱患留給了那些躲在暗處的黑客.

有人對用戶的密碼做過統(tǒng)計，研究他們設置密碼時的偏好，并將統(tǒng)計結果繪制成圖. 61%的用戶喜歡使用人名、地名、字典詞匯和純數字來設置他們的密碼，甚至還有2.6%的用戶直接把他們的用戶名當做密碼使用（比如把guokr123@...的密碼直接設置為guokr123）. 這些都是具有安全隱患的密碼設置策略！黑客們了解用戶的密碼設置習慣后，就可以編寫“密碼詞典”，有了這本詞典后，就可以在暴力破解的時候大大提高精準性. 一個叫做1PASSWORD的網站給出了新的策略. 它相當于為你提供了一個帶鎖的記事本，可以讓你把所有的密碼記在這個記事本上，你只需要保留開鎖的鑰匙（密碼）即可. 撇開這個網站的靠譜程度不談，單單為了這樣一個記事本，你就要付出40美元的代價. 同時請別忘了，它僅僅為你解決了記憶密碼的問題，還是沒有逃開設置密碼這個更加頭疼的問題.

優(yōu)秀的密碼設置策略

如何設定一個靠譜的密碼？

互聯(lián)網上的一個網站中有一篇文章提出了一些密碼設置上的參考建議，里面提到“用統(tǒng)一規(guī)則記住多個不同密碼”是一個不錯的選擇. 畢竟記住一個規(guī)則比記住一串雜亂無序的字符要容易多了，也可以實現(xiàn)“一把鑰匙開一扇門”的策略. 在這里不妨舉個例子，給出一個簡單的密碼設置規(guī)則（以電子郵箱為例）：

密碼=2*（[用戶名標識符（小寫/大寫）]+[用戶名長度]+[.]+[網站標識符（大寫/小寫）]），比如說guokr123@gmail.com的密碼可以為gk8.GMGK8.gm，而songshuhui@hotmail.com的密碼可以為ssh10.HTSSH10.ht.

但是，這就真的安全了嗎？下面的這幅畫真實地反映了如此一個情境.

正如這幅畫中展現(xiàn)的——還請讀者記住的就是，一個優(yōu)秀的密碼可以盡可能地降低風險，但它并不能將風險降為零. ■endprint