開篇本想吐槽網絡時代帶來的密碼泛濫,可在下筆之前準備登陸我有些日子沒用過的“印象筆記”App,查查以前的一篇讀書筆記,苦于又一次忘記密碼,只能打消這個念頭。
記不住密碼其實是小事,比起你的密碼被別人知道,我寧愿選擇在保護密碼上耗費更多的精力。道理很簡單:擠公交地鐵時,許多人會把包掛在胸前。雖然不美觀,但防盜效果很好,因為我們知道包包里有錢包和手機,所以值得犧牲舒適性;換門鎖時候,許多人會花錢買級別更高的鎖芯,其實自己心里知道這只不過能多擋住盜賊幾分鐘,但我們心里會踏實一些。
我們現在面臨的現實是,虛擬(網絡)和現實世界緊密結合,原來單一的個人保密機制不論是自愿還是被動,都被卷進了信息共享的潮流之中。其中密碼就是聯結我們和網絡世界之間的鑰匙,有的甚至是存著真金白銀的金庫鑰匙。所以怎么把這把鑰匙配好、保存好,其重要性不言而喻。
我這里提出了兩個條件:設置和保管。其實對于網絡密碼來說只要遵循一個邏輯就能完美解決這個問題:
一定要設成自己記不住的密碼,并經常更換!
讀到這里先別著急吐你口邊那一萬句槽,接著往下看。
這句話看似簡單武斷,實則包含了以下幾方面的含義:
密碼不能有意義;
組成密碼的各部分不能有意義;
一個密碼不能做改變地使用很久(重復登錄很多次);
現在還那么想“噴”嗎?如果好奇,咱繼續說。
密碼不能有意義
上世紀末網絡剛剛興起的時候,許多人覺得“密碼”這個事特別多余。上網聊個天,發個郵件都得需要密碼,我用手機發短信多方便。可是沒辦法,不設密碼你都登錄不上來。怎么辦呢?那就填寫生日和電話號碼吧。
假設某人生日是1990年1月1日,那么密碼就寫成199011或19900101,或者改變一下順序,寫成01010991等等。
OK!密碼牢牢記住,不出意外,這組數字是不可能忘掉滴。那么你有沒有想過,破解這串數字需要多久呢?以當時最笨重的辦法,以小時記應該富富有余了,這還是算上用當時龜速的網絡下載破解工具的時間。
在第一批網民里,很多人的密碼就是被這么破解的。
組成密碼的各部分不能有意義
大型網絡密碼泄露事件不時發生,怎么辦?群眾的積極性和認知水平提高速度太慢,而大家又不能終止或者說暫時減少網絡活動,那網絡服務商只好從后臺技術入手強制用戶提高密碼長度下限,并且不允許使用純數字或純字母作為密碼(大家還記得早晨起來被迫改QQ密碼的心情嗎)。
嘿嘿,政策是出來了,那用戶又是怎么應對的呢?我們就把剛才那位生于1990年1月1日的朋友命名為“小強”。原先他的密碼都是純數字,不符合新規要求。那么他現在的目標是必須得在生日的基礎上被迫加進英文字母。
什么字母最好記?用腳都能想到用自己的名字嘛!于是新密碼有了,不怕麻煩就用xiaoqiang+生日,要是圖省事就用XQ+生日,或者把名字放到生日后等等,可以有很多種組合。
這里就出現一個問題,為什么我們的第一反應總是傾向于把幾個有意義的部分組合從而形成新的密碼?這是由人類腦部的特定結構決定的。有意義的東西,不管多長,都可以算作一個區塊,同樣長度的密碼,記憶區塊越少就越好記。而我們從小接受的教育就是如何挺高記憶力、增強大腦的使用效率,這與我們設置密碼時的邏輯是一致的。
雖然密碼長度增長、組成元素種類增加,看起來破解難度上升了。可黑客們破解密碼時只要邏輯與我們剛剛講到的記解邏輯相反,就很容易能夠破譯。在他們的破解邏輯中,并不指望去破譯所有人的密碼,對每一個用戶的攻擊都會在若干嘗試時間后停止。對于他們來說,你支付寶或網銀里的金額不重要,關鍵是效率,在單位時間內能破譯的更多就算成功。
一個密碼不能不做改變地使用很久
隨著網絡信息越來越真實化、網上資金的流轉數額越來越大,密碼被破譯后帶來的后果越來越嚴重。于是網絡服務商又推出了更加嚴格的密碼規則:現在你設定密碼時,有一個聰明的“守門人”會決定你設置的密碼強度(復雜程度)夠不夠,如果不符合安全規則,你的密碼就設置不成功。
于是我們被逼著對密碼進行各種各樣的調整,比如加入了下劃線、各種奇怪的符號、顛倒的字母和數字順序……最后,這個“守門人”終于龍顏大悅——密碼強度足夠,放行!
這時你馬上要做的就是趕緊找張紙把新密碼記下來,因為轉身就會忘了這么復雜一個玩意兒。轉了這么大一個圈,你現在明白我在文章開頭說的那條唯一的心法了吧——我終于擁有了一條自己都記不住的密碼!以后我就靠它行走江湖啦,絕對安全!
可是你大錯特錯了。
道高一尺,魔高一丈。人家黑客現在攻擊的武器又改善了,用大數據搞你,具體點兒說,叫“撞庫”(詳查百度百科)。
從前破解密碼,是一個一個網站來,現在不是了,是一堆一堆的做。破解了一個網站,立刻去另一個網站做用戶名的比對,見到一樣的或者類似的,就用已獲取的密碼碰運氣。在這個買菜的大爺大媽都會發紅包的時代里,每個人都有很多個賬戶,不充分利用一下您那雖然復雜卻“一碼多用”的密碼多可惜呀。
所以,當你鄭重其事地找到一個隱秘的地方,把那條“永遠不會被記住”的密碼端正地保存好的時候,放棄那些絕對安全的幻想吧,狠狠告訴自己:“這僅僅是個開始!我還要N次來到這里換掉密碼!”這不是臆想,專家建議,30天更換一次密碼,在目前階段可以使其被盜的幾率降低至接近0%。
好啦,現在你明白什么是最安全的密碼了吧?不是技術、而是人性!這是一個不斷循環往復的過程,而你,為了自己的信息安全,做好打持久戰的準備了嗎?
