密碼如何設置安全

 　　一項研究表明，1%的密碼可以在4次之內猜中。

　　怎麼可能?簡單!嘗試四個最常見密碼。password，123456，12345678，和qwerty，這就打開了1%的大門。

　　好吧，你是那99%的人之一，但你還要考慮到而今黑客軟件的速度。John the Ripper是一款免費的黑客軟件，每秒鐘能測試數百萬密碼。還有一款商業軟件本來是用在刑偵領域裡(在查封的電腦中尋找兒童色情或者恐怖分子的信息)，號稱每秒能測試28億密碼。

　　一開始，破解軟件會運行一套窮舉式的、時常更新的流行密碼表，然後再是整個字典，包括所有的常見人名，昵稱和寵物名。而今我們這些用戶，在反復羞辱和威脅之下，大多學會了往我們的密碼裡加數字、標點和奇怪的大小寫，這叫“重整”(mangling)。理論上，這能讓密碼變得難猜許多——實際上，效果遠沒有那麼好。幾乎所有人的思維都會遵循那些早已被踏平的熟門熟路。如果網站要求你的密碼裡必須有數字，那password變成password1或者password123的頻率會讓你吃驚的。而要求你必須大小寫同時出現的密碼就會產生Password或PaSsWoRd。必須有特殊符號的結果則是password!和p@ssword。你以為$pider_Man1這種密碼真的有看起來那麼安全?每個人都覺得自己很機智，最後都機智到一塊去了。

　　而且我們還有理由擔心，因為網站強制采取重整，會逼迫用戶去使用那些簡單好記的密碼作為重整的“底子”——因為重整本身很難記。它帶來的安全感是虛假的。

　　RockYou事件

　　之所以我們對這些愚蠢密碼有所了解，很大程度上來自於2009年12月4日的RockYou.com安全漏洞事件，他們是一個Facebook游戲發行商。一位黑客公布了這個網站32603388位用戶的賬號名和明文密碼。此前和此後都有很多安全漏洞，但是這一起事件的超大規模使得它成為密碼研究的關鍵數據組——無論是對好人還是對壞人而言。

　　“123456”和“password”是非常受歡迎的密碼。

　　在RockYou.com裡最受歡迎的密碼是“123456”，使用者人數高達290731人。不同年齡段和性別的人愛用的密碼有很多差異，對於30歲以下的男性，許多受歡迎的密碼來自性和穢語： pussy，fuck，fucking，696969，asshole，fucker，horny，hooters，bigdick，tits，boobs等詞匯位居前列。年紀大的人(不分男女)更傾向於使用昔日流行文化裡的老梗。“Epsilon793”本來不是一個很糟的密碼——假如它不是《星際迷航：下一代》裡Picard艦長的密碼的話。七位數字“8675309”常見到不可思議的程度，因為它是當年一首流行歌曲裡面的電話號碼。

　　只有記不住的才是安全的？

　　密碼安全領域的每一項新方案最後不可避免都要招致冷眼旁觀的專家的評論——在他們看來，任何常見的密碼管理行為都是沒用的。許多專家奉行“寫下來”的原則，“很簡單，足以抵御住字典式攻擊的長密碼已經長到人們記不住的程度了，如果人們選取一個又長又復雜、完全記不住的密碼然後寫在紙上，那才算安全。”這是咨詢家布魯斯•歇奈爾(Bruce Schneier)在2005年寫下的，在數字時代這簡直是上古先知了。“我們都很擅長保管小紙片，我建議人們把密碼寫在紙上，然後把那張紙和其他有價值的紙放在一起——錢包裡。”

　　即便可以將密碼記在紙上，但敲出一個長而難記的密碼也是煩人的事。移動設備的虛擬鍵盤?祝你好運。專家建議和現實場景的鴻溝在我爸的方法上體現得再明顯不過——他把密碼寫在即時貼上，再把即時貼貼在電腦旁。密碼並不復雜，只是一個兩字短語，沒有數字或者奇怪的標點符號。現實中的人不光會選擇不安全的密碼，他們連這樣的密碼都不大記得住。

　　而在網上漫游中，許多用戶像蝸牛一樣留下一串又一串都差不多的密碼軌跡。他們會給每個網站都使用一樣的密碼，風險?見鬼去吧。有些網站會手把手地帶用戶，強迫他們遵循一些無厘頭的密碼規則，用戶不得不修改自己的常用密碼——然後他們下次登錄的時候又不記得是怎麼修改的了。

　　那怎樣的密碼才算安全？

　　創造一個安全密碼簡直是世界上最簡單的事情：一串完全隨機的字符就是了。靠自己的腦子是無法達成完美隨機的，但你也不需要這樣苛求自己：許多網站和應用可以拿環境噪聲的數據給你提供完全隨機的密碼。這裡是我在random.org上獲得的一些密碼例子：

　　Vk54z6XG

　　Px7YZrm3

　　NfdeKYsY

　　FryVMwMk

　　BVfqbRQb

　　問題解決?對於那些有迫害妄想的記憶狂人，或者那些用指紋識別來保障密碼管理軟件安全的人來說，確實如此。剩下所有人都甭指望能記住這堆字母湯。他們還說每個賬戶要有不同的密碼!

　　比起專家來說，大多數用戶都更在乎密碼的方便好記，而不那麼在乎安全性。我不知道哪一方更正確。你家裡有緊急避難室嗎?十有八九是沒有吧，但那些裝了避難室的人肯定會告訴你這玩意兒有多重要。但在你飛奔向避難室之前，也許確保自己始終鎖好前門是更佳的選擇。

　　密碼面對的三種威脅

　　在現實中密碼會受到來自以下三個方面的威脅：日常、群體和定向。

　　“日常威脅”指的是你認識的人。愛管閒事的同事或者親人可能想要登錄你的賬號。他們會通過自己對你的了解來猜測你的密碼(而不是靠暴力破解軟件)。日常的打探者也許會知道你的高中球隊是野貓隊(Wildcats)然後嘗試這個密碼，不過wildCatz1很可能足以打敗他。

　　“群體威脅”就像垃圾郵件一樣，不針對個人。職業身份竊賊並不是在專門針對你的賬號搞破解，他對你的個人情況一無所知，他的目的是匯集一套破解過的賬號密碼清單，通常是拿去再賣錢。密碼竊賊則使用破解工具，會先從安全防護措施較低的網站下手——通常是那些允許你猜很多次的網站。這也許是沒有什麼經濟價值的網站，比如游戲網站。等軟件猜對了之後，它再用同樣的密碼及其變體去猜你的更加安全的賬號，比如銀行。

　　“定向威脅”意味著使用軟件的私家偵探或警探。假如一個訓練有素的人想黑進你的賬號，假如金錢、時間(甚至法律)都站在他那邊，那他很可能會成功。唯一的反制手段就是使用隨機密碼，長到足以保證其搜索時間抵得上你的預期壽命，甚至更久。

　　不要覺得你不會成為這種目標，哪怕是小企業的競爭對手也可能願意花費資源去偷一台筆記本電腦。離婚案件裡身價頗高的另一半也可能這樣做。黑客可能會討厭某個人的企業或者政治立場。推特的全站，就曾經陷落過，注意不是某個用戶而是全站，原因只是一位管理員傻乎乎地選擇了happiness作為密碼。2009年一位黑客在字典攻擊中發現了這個密碼，把它貼在了Digital Gangster上面，結果是巴拉克•奧巴馬，布蘭妮•斯皮爾斯，臉書和福克斯新聞等等大賬戶的推特都被盜用了。

　　短語記憶法的問題

　　正如生命裡所有別的事情一樣，魚和熊掌不能兼得，你不能同時擁有最高的安全性和最高的易用性。常見的策略裡最好的一條之一是，把一個短語或者句子變成密碼。你挑選一句話，一個詞組或者一句歌詞，用它們的首字母來作為密碼。比如如果你要用May the force be with you(願原力與你同在)這句話，密碼就是Mtfbwy。

　　但剛才那句話最好不要用，而這就是問題所在。你肯定會想起某個電影、某首校歌或者南方公園裡的眾人皆知的句子。你有幾個八詞以上的短語能原樣背下來的?隨便一個句子甚至不見得比隨便一個詞更難猜。而且很少有人費心去重整他們的句子生成的密碼——看起來已經很隨機了嘛!

　　一個理想的密碼方案即便所有人在用也不會失效。但如果句子變密碼這個方案流行開來，那所有的大眾文化習語變來的密碼都會進入常見密碼清單，破解軟件會先嘗試這些密碼。而且習語縮寫詞一般都是字母，比起同樣長度的多種字符混合密碼要更危險。

　　這個辦法的有些缺點可以解決。比如，永遠不要用名句。一個辦法是用私人笑話。還記得科蘇梅爾島上餐廳裡侍者對布倫達說的那句超好笑的話嗎?你記得，布倫達記得，也許侍者還記得，再沒有別人知道了。如果你選擇這句話作為你的密碼句，那麼你很有可能是地球上唯一用這個句子的人。

　　但密碼本身是不是還那麼獨一無二，就不那麼確定了。不同句子的首字母縮寫也有可能是相同的，產生同樣的縮寫密碼。有些字母更容易成為一個單詞的首字母，而黑客軟件可以利用這個特點。

　　反向短語法

　　運用密碼-句子對應的最佳辦法，是把傳統的方案顛倒過來。不是找一個句子把它變成密碼(這樣的密碼不會很隨機)，而是先找一個真正隨機的密碼，然後把它變成好記的句子。

　　我以前一直用簡單愚蠢的密碼。後來我被盜號了，網站給了我一個由隨機數字和字母組成的臨時密碼，我剛准備把它改掉，突然意識到其實我不用改，這種隨機的密碼我還是記得住的。

　　我們的大腦非常擅長在隨機的數據中尋找規則，這也是我們記住電話號碼和身份證號的辦法，這也同樣可以用於記憶像RPM8t4ka這種隨機密碼，這是我剛在random.org上得到的。盡管這個密碼確實是隨機的，但我們的眼睛和大腦卻可以立即從中找到記憶的規則。比如這個密碼的