誰來拯救我們的密碼

        有人還記得連線的編輯 Mat Honan 嗎？去年 11 月，他的密碼被黑客攻破，電腦、平板電腦、手機上的資料都被清洗。在事后反思的時候，他無不感慨的說，“密碼和人類的文明歷史一樣古老。但由于它們的存在，人們無休止地破壞它。”

        在新時代，個人信息四處流轉，容易被人利用——國內“社會工程學”式的攻擊已經令不少人蒙受損失。幾個字母，電子郵件地址，一些安全提示的問 題，已經無法保護我。現在計算機的性能在不斷提高，暴力破解密碼的方式也已成為可能。再復雜的密碼，只要被人盯上，那就是不安全的。

        網絡的本質就是信息無邊界的流轉。如何才能超越“密碼”，來抵擋互聯網無孔不入的特性呢？其中一個方式是 Google 的“二步驗證法，當你需要登錄個人賬戶的時候，需要輸入手機上的驗證碼。但 Google 還打算用一種更加安全的方式來保護個人信息，因為他們發現，一些“壞人”會用“釣魚”的方式，騙到用戶的密碼。根據連線的報道，Google 選擇與安全廠商 Yubico 合作。

        Yubico 的產品是 Yubikey，這是一個小型的 USB 設備，當插入電腦之后，設備上的綠環會亮起，表示已經成功地被電腦識別為 USB 鍵盤，并可以正常傳輸字符。說到這里，想必大家已經比較清楚，Yubikey 的作用是代替我們生成復雜的密碼。

        當用戶按下 YubiKey 的按鍵之后，設備就生成一個由 44 個字符所組成的字符串，其中有 12 個字符時 Yubikey 的設備 ID，其余的 32 個字符則是由英文字母亂序組合的一次性密碼——盡管字符范圍有所限制，但由于是一次性密碼，而且長度達 44 位，強度已經足夠。而根據 Tom Olzak 介紹，Yubico 還提供了一個工具，讓將 Yubikey 從一次性密碼生成器變為靜態密碼庫。 現在，Yubikey 還可以與密碼管理服務 Lastpass 相結合起來，甚至支持 NFC 加密技術。

        Google 打算讓 Chrome 支持 Yubikey，當用戶瀏覽網絡的時候，只要按下 Yubikey，以及點擊一次鼠標，就能完成注冊。而下次登錄網站的時候，也只需按下 Yubikey 便可輸入密碼。以往的密碼保護方式是“以人腦為中心”的，而現在 Google 則提倡一種“以設備為中心”的保護方式。

        之前，我們也曾總結密碼管理的幾種額外身份的驗證工具中，令牌（動態密碼）、短信驗證碼的安全性最強——但果然這個世界沒有“最”，只有“更”。