網絡密碼：越復雜越好？

　　斗膽讓我猜猜：你上網用的所有密碼——網上銀行、郵箱、網購、twitter和facebook的登陸密碼——在你腦子裡是亂七八糟。你也非常清楚，訪問不同的網站，必須選擇一串不一樣的、排序復雜的字母、數字和符號做密碼，然後把它背下來。(先人的智慧教導我們密碼守則第一條：絕對絕對不能把密碼寫下來。)可是你不會真這麼做，因為你知道自己的腦子沒有這種能力。於是你選擇用熟悉的單詞來注冊每一個網站：比如自家狗狗、你家那條街的名字，再加幾個臨時想到的排列，比如“123”作為結尾。也有可能你真的遵守了那條守則，也因此在登陸銀行賬號的時候常常被鎖起來，或不停回憶各種荒謬的安全問題的答案。(“你小時候最喜歡的運動是什麼?”我現在就被問到這一題，可是我小時候最喜歡做的“運動”就是想方設法翹掉體育課。iTunes商店還有一個問題是問客戶他們“最不喜歡的車子”是什麼。)最可怕的是，最近幾年，你還會被逼著設一個字母混合大小寫的密碼，可有哪一個正常人能記得起如此多重組合的排列呢?至少那個人肯定不會是你。

　　如果你覺得自己設的密碼太差勁了，我有個理由能讓你不那麼愧疚：這樣的爛密碼是普遍存在的。上個月，PIN密碼洩露事件的分析報告顯示，大概有十分之一的人會選擇“1234”做密碼;而最近雅虎網安全漏洞事件也讓我們發現，有上千名用戶設置的密碼要麼是“password(密碼)”“welcome(歡迎)”“123456”要麼就是“ninja(忍者)”。人們總是會設一些爛到不行的密碼，甚至拿它去保護一些比自己的存款還重要的東西。軍事安全專家們大都知道，在冷戰高峰時期，美國核彈的“解鎖密碼”竟然是00000000。五年前《新聞之夜》亦曾揭露：1997年以前，英國部分核彈的鑰匙鎖，其本質就是一個自行車的車鎖。至於怎麼選擇讓彈頭在空中還是地面爆炸，只要用宜家的內六角扳手(Allen key)就可以搞定。而這些根本就不是密碼。遇到敵方攻擊的時候，快速反擊比其他什麼都重要。

　　我們的密碼處在危險之中，而這也成了邪惡的黑客和“掛羊頭”的安全測試人員一場又一場“軍備比賽”。可是你只要跟那些內行人聊聊，就知道先人的智慧其實也是值得商榷的。舉個反例：把密碼記下來可能才是一個好主意。有些老板會命令員工90天更換一次密碼，這可能並不是在提高安全性，反而是給自己惹麻煩。同樣的事情也發生在一些銀行的密碼設置規范上：密碼不能超過12個字符，不允許使用空格鍵，等等。而在所有規定之中隱藏的真相是：密碼——作為保護人們在互聯網上的私人資料的途徑，最後卻在根本上被違背了它的本職。我曾向一個經驗豐富的網絡安全研究員比爾·切斯維克(Bill Cheswick)指教，問他有沒有辦法能一勞永逸地解決這一問題。他想了一會兒，提議道：“就把你的電腦燒掉，然後滾海邊玩兒去。”盡管你的腦子可能已經亂得不行，但還是有既安全又不會失去理智的方法。只不過這種方法跟以前別人教你的不大一樣。

　　密碼破解手法形式多樣，然而當中最重要的反而不是靠邪門歪道，而是靠蠻力強行攻擊。舉一個例子：有一個黑客，他潛入一家公司的服務器，准備偷取一份文件，文件上記有上百萬條密令。這份文件(但願)是被加密的，因此他不可能直接登入這個賬號。假設文件裡的密令是“hello”(當然沒那麼簡單)，在文件中它就會被加密為類似“$1$r6T8SUB9$Qxe41FJyF/3gkPIuvKOQ90”的字符。他不可能隨隨便便就把這行亂碼解開，因為他知道文件是被“單向加密”的。而他能做的，僅是將所有上百萬種可能性加入同一個加密算法進行測試，直到其中一個密碼剛好中獎，得出的結果與那一連串的亂碼相符合。只有這樣他才知道自己找到了那個密碼。(有一種附加的加密技術被稱作“salting”，它可以阻擋這種攻擊，但現在尚不清楚有多少公司真的使用了這項技術。)

　　這時，密碼長度所能產生的你無法想象的作用。假設有一個黑客的電腦每秒鐘能猜測1000種五位純字母、完全隨機、全部小寫的密碼組合，比如“fpqzy”，那最多需要3小時45分就能破解成功。現在只要把密碼設成20位，破解的時間自然就會增加一點：要花650萬兆年的時間。

　　現在就有一個人為預測的問題。畢竟沒有人能想出一個字母與數字完全隨機的排列組合。相反，人們會遵循一些自然規則，比如用一些已經存在的單詞，然後將字母O用數字0代替，或者在姓氏後面跟上一個年份。黑客們也知道這一點，所以他們的破解軟件會綜合這些規則進行猜測，從而有效減少時間，快速猜中目標。每次，在一百萬條密碼中都能出現一個新的漏洞，這就像2010年的Gawker事件和今年的雅虎事件【注1】一樣，而每次黑客們都能借此有效學到人們設置密碼的新知識，也使得他們破解密碼更加輕而易舉。你可能以為自己夠聰明，能想到一個絕佳的方法設置密碼，其實黑客們早已熟稔於胸。

　　所以說，最不可能破解的密碼就是一長串完全隨機的字母、數字、空格和符號，可真要這麼設你就背不下來了。不過，既然長度這麼很重要，你會發現一個驚人的事實：一長串無規則的英文單詞，且全用小寫——比方說“awoken wheels angling ostrich(吵醒的、輪胎、釣魚、鴕鳥)”就比已經很短小、還遵循銀行那些煩人規定的密碼(像M@nch3st3r)要安全得多。而且這樣的密碼還更好記，因為你在記憶中已經建立了一個畫面：有一群吵鬧的輪胎吵醒了一只在河邊釣魚的鴕鳥，不是嗎?正如熱門的宅向漫畫《XKCD》去年發布的一期漫畫就很清楚地指明了這一論點：“經過了20年的努力，我們成功地讓每一個人練就一副‘密碼設得是人都記不下來、是電腦都猜得出來’的好功夫。”

　　而且其實事實比這更糟。因為密碼太難記了，於是人們發明了“密碼追回”，當中，安全問題就簡單得連黑客都答得出來。這就是為什麼2008年莎拉·佩林【注2】的個人郵箱會被黑客黑掉：入侵者把她的郵政編號和高中校名全給猜對了。賬戶追回的另一相關缺陷還導致《Wired》雜志【注3】作者馬特·霍南(Mat Honan)在今年八月遭到了黑客的惡性襲擊。幾名黑客成功占用了他的谷歌賬號，並以他的名義在Twitter上發表了種族歧視的言論，並遠程清空了他手提電腦、手機以及iPad裡的所有資料。後來其中一名黑客通過網絡留言給霍南，告訴他，這一切之所以會發生，是因為亞馬遜網站的客戶服務熱線很樂意提供了他信用卡賬號的後四位，而在蘋果的客戶服務台，剛好就可以用這四位數重設他的蘋果iCloud賬戶密碼。

　　有一些網站會讓你使用密碼短語(passphrase)，就是剛才說的“釣魚鴕鳥”那種。可是大多網站都不會這麼做。在這樣的情況下，很多安全專家都認為，人們應該無視銀行的規定把密碼寫下來。他們的邏輯其實很簡單：因為你覺得記在紙上很不靠譜，你就會想個折中的辦法，最後你就選擇最不安全的密碼。(同樣的道理，有些人會建議、甚至要求你定期更改密碼，可其實你要記的密碼越多，就越會被逼著去選擇簡單一點的密碼。)“我有68個不同的密碼，”微軟安全專家傑斯珀·約翰遜(Jesper Johansson)幾年前在一次會議上說。“要是他們不准我寫下來，你猜我會怎麼做?我肯定都會把所有賬號都設上同樣的密碼。”密碼專家布魯斯·施內爾(Bruce Schneier)也同樣提倡人們把密碼寫下來。他指出，絕大多數人其實都能夠妥善保管幾張小紙片的安全。你的配偶或你的室友是否可信，這種安全問題你絕對有能力推測出來。可換做是俄國黑客集團是否會威脅到你的銀行賬戶，你就很難預測。

　　我把這類見解告訴尼爾·艾肯(Neil Aitken)，他是英國支付委員會的發言人(該委員會負責監督跨行轉賬系統與連接網絡及其他事務)。他聽了之後倒是顯得十分鎮定。他解釋說，問題的關鍵在於欺詐法強迫銀行客戶必須執行一些義務。如果你只顧著保護自己的密碼，此時如果有人盜走你賬戶裡的金額，法律就會認定你“犯下嚴重疏失”，這樣你的錢就很難再找回來。“你可以有一個世界上最難破譯的密碼，可如果你告訴了別人，那你就把這密碼給毀了。”借此委員會強烈建議英國客戶千萬別把密碼寫下或把密碼告訴給其他人。

　　兩方都各持己見。這就是安全問題的麻煩之處：你必須得權衡利弊。越方便意味著越不安全;對遠程攻擊防得越緊就讓狡猾的室友越有機會趁虛而入。你是願意冒稍微大(雖然這很難量化)的危險在金錢上，還是讓自己處於長年的密碼攻擊之中?這種問題有夠復雜，就好像是在問你：“你最不喜歡的車子是什麼?”

　　比爾·切斯維克(Bill Cheswick，朋友都稱他為切斯Ches)和很多人一樣，堅信我們這個社會正在淪入密碼的混沌之中。與其他人不同的是，他覺得自己得為此負一部分責任。1994年，作為AT&T的虛擬究部——貝爾實驗室(Bell Labs)的成員之一，他參與合作撰寫了一本書。書名耐人尋味：“防火牆與網絡安全：擊退狡猾的黑客”。(他曾提出“代理服務器”這一概念，這也因此成為他在互聯網圈子裡被稱為“半人半神”的原因之一。)這本書為現代網絡安全奠定了基礎。可是現在，他說道，當我們大家在曼哈頓咖啡館見面上網的時候，密碼就成了“一根倒刺!誰能通曉那麼多事情?”這個話題總能讓切斯維克活躍起來，雖然他平時就是個滔滔不絕熱情洋溢的家伙，可這次他還是會讓對桌的人們從自己的筆記本裡抬起頭看他。“還有那麼多規定!你還得混合符號啊，大小寫啊，數字啊……”