老生常談的密碼安全

密碼設置過弱是個老生常談的話題。2006 年一項針對 3.4 萬個 MySpace 用戶賬號密碼進行的調查顯示，最常見的四個密碼分別是 “password1″、”abc123″、”myspace1″、”password”。

2011 年夏天，iOS 應用開發者 Daniel Amitay 為研究用戶行為在自己的應用里做了個逼真的偽解鎖界面，成功收集超過 20 萬用戶解鎖碼。其中出現次數最多的前十個組合是：1234, 0000, 2580（鍵盤中間四個數字）， 1111, 5555, 5683（數字鍵的 LOVE）， 0852（2580 反過來）， 2222, 1212, 1998。

最近劍橋大學的計算機研究人員 Joseph Bonneau 對 7000 萬雅虎用戶的賬號進行分析后發現問題依舊——賬號信息經過加密，他無法訪問單用戶信息。Bonneau 介紹說密碼強度以 bits 衡量，一個由數字、大寫字母以及小寫字母構成的 6 位數密碼強度為 32 bits。但雅虎用戶自己設定的密碼平均強度低于 10 bits，很容易被攻破。

此外平均來看，為賬號綁定信用卡的用戶在設置密碼時并不比未綁定信用卡的用戶高。反倒是 55 歲以上用戶明顯更聽從安全建議，設置的密碼安全系數較高。

有人會覺得網站明碼保存密碼和另辟蹊徑的社會學攻擊讓完全保密成為空談，但更復雜的密碼還是有意義的，不能因為做不到 100% 安全就用 qwertyui 作為付款密碼。這也是為什么 Google 推薦以復雜的兩步驗證機制保護 Gmail 賬號、蘋果 ID 強制包括不同字符、微軟也在 Windows 8 里一改以往策略，默認啟用密碼。

不過如果一件事被強調了幾十年還不見好，責任肯定不在用戶。記憶同時包含無意義數字和大小寫字母的密碼組合本身就是強人所難。何況現在泄密事件時有發生，用戶得記一堆密碼才能真正改善安全性。

這件事讓我想到一個不太靠譜的傳聞。關注 Insideris.com 前兩周發布一條沒來源的消息說微軟計劃在 IE 11 中引入全新安全機制，瀏覽器將生成長串復雜的無意義號碼用于網站登錄。用戶通過指紋掃描或者對著 Kinect 作出特定動作（例如微笑）方能解鎖——比面部解鎖好的一點是 Kinect 的雙攝像頭不容易被照片騙過。

說這不太靠譜是因為硬件要求太多，而且 Kinect 精度還不夠高，尚且沒法識別手語，更別提微笑。指紋掃描更不靠譜，計算機附帶的那些可以用貼紙輕松騙過。

不過拋開硬件限制，這樣的思路本身挺合理。跨平臺應用 1Password 就采用類似邏輯，鼓勵用戶為不同網站設置不同的復雜密碼。1Password 自帶瀏覽器插件，理論上用戶只需要記得 1Password 的密碼就能自動登陸所有網站。但 1Password 畢竟只是一個第三方應用，而且價格不菲，Mac+Windows 就要 70 美元，注定只是小眾產品。若 Google、微軟、蘋果這樣的平臺擁有者能夠推動，前景會很不一樣吧。

題圖來自 Ron Bennetts