我们真的需要自己都记不住的密码吗?

(中国软件网讯)

2004年比尔·盖茨公开宣称说这个世界将不再需要密码;然而现在微软研究院的一份报告却表示，密码或许永远不会消失，它有用着呢。

想一个单词。一个密码。它至少要有八个字节的长度，但不超过12字节。任何字节都不能重复超过两次。确保它至少包含一个字母，一个数字。事实上，它还必须以数字开头。你不能使用任何以前用过的用户名或密码。最后，在你的密码中必须使用以下字符中的一个~!@#$%^&*()_+={}[]|;:/?.,。

而且让你能够记住这个密码。你无需把它写下来，但当你之后再来到这个网站时你可能会用上它。

是不是感到很困惑?安全专家告诉我们说我们的密码要很难被猜出来，但有这么一小撮“别有用心”的网站却迫使我们想出一个根本不可能猜得到(或记住)的密码。

上述的要求来自于一家真实的网站。这个杰作出自于美国海关与边境保护署的一群安全怪才们，针对的是那些想要在线申请该机构“受信任旅客项目”的人，这样可以使他们省去入境时排长长的队伍的麻烦。

对于研究人员柯麦科·赫利(CormacHerley)和C·保罗·范奥斯浩特(PaulC.vanOoschot)来说，计算机行业无休止地强迫我们加强我们的密码是受到误导的——比起它带来的好处，要花费的工作太多。“对用户来说，安全只是次要任务。而很多网站和供应商却以为用户有闲工夫花在……额外的事情上。”渥太华卡尔顿大学计算机科学教授范奥斯浩特说道。

在一份新的研究文章中，范奥斯浩特和一名微软研究人员赫利表示，当那些IT专家不停地提醒我们密码安全时他们是在帮倒忙，原因是增强密码的建议通常忽略了真正恐怖有效的攻击。“用户们天天听到关于选择强密码的建议，但他们了解到的关于网络欺诈的建议就要少很多了。”他们在文章中如此写道，“对于那些用键盘登陆的用户来说，没有什么比运行反病毒软件，打好软件补丁更重要的了。”

简而言之，用户喜欢的是简单的答案，而非那些他们“不得不听”的信息。

世界首次数据泄露?

密码泄露问题早在上世纪60年代就出现了。但首次有记录的密码泄露事件发生在1966年，问题出在传奇般的麻省理工学院的兼容分时系统(CTSS)上。CTSS是IBM公司生产的7094型主机，可以进行一种新型的多用户交互式编程。在CTSS造出来的那个年代，电脑运行程序是整个运行，并且即刻执行每个步骤，但CTSS允许多位用户同时登陆并编写程序。为了管理多个用户，密码就诞生了。

一天，一个软件bug出现了：当用户登录时本该显示欢迎界面，但此时却显示出了整个密码文档。“任何登陆的用户都会发现，原本应该显示每日信息的地方显示的却是整个用户密码文档。”CTSS项目的领导人费尔南多·J·卡波特(FernandoJ.Corbató)回忆25年前的这次事件时说道，“这个情况持续了15到20分钟，直到一名特别认真的用户将之报告给系统管理员。”

这之后每个人的密码都必须重设。当然了，这个故障发生在周五晚上五点，一个通常发生技术故障的时刻。

这次事件被1979年一份很有影响力的关于密码安全的论文所引用，作者为Unix重量级人物罗伯特·莫里斯(RobertMorris)和肯·汤姆逊(KenThompson)。在这篇论文中，他们将这次事件称为“关键词搜索”攻击——攻击者不断地尝试不同的密码，直至有一个成功。现在我们把这种攻击叫做“暴力破解”攻击，特别是在现代强大的微处理器的帮助下，这种做法行之有效。一台现代的电脑能很轻松的生成数以亿计的密码组合并不断尝试，直到碰到一个正确的。而这种攻击正是你那种冗长、复杂、难以记忆的密码所要面对的挑战。

但对于网站来说，还有更简单的方法。攻击者可以生成一个相似的页面，或者迫使用户在一系列失败的登陆后等上几分钟。这种登陆破解方法比暴力破解更能有效地对付网页的登陆页面。

这种方法看起来很有效。对于那些访问量极大的网站——包括那些被诈骗犯一直盯住的网站——允许你为你的账户设置十分简单的密码。比如你可以在Amazon.com创建一个密码为“aaaaaa”的账户。这个密码用暴力破解法几秒钟就能被猜到，但亚马逊就是允许你使用它。

在另一份论文中，赫利总结说许多世界上规模最大、访问量最多的网站使用弱密码政策并没有什么太大问题，而一些隐秘的政府和大学网站却要求严格。为什么?因为政府和大学网站并不是很在乎网站有多么难用。“当不存在支持易用性的声音或它比较弱时，安全政策就会变得不必要的严格起来。”赫利和另一位微软研究员丹尼尔·弗洛兰溪(DineiFlorencio)写道。

似乎每个人都认为使用强密码是个好主意，但越来越多的电脑专家表示强密码不再像汤姆孙和莫里斯写出那份开创性的论文时这么重要了。有些专家甚至表示在一些场合使用弱密码完全没有问题。你当然希望为你的在线银行设置一个特别而又极端强的密码，但当你登陆美国广播公司的Kids栏目时你也想用这种密码吗?为何不尝试用一个不太会被猜到的字母组合呢?

“这不是因为人们现在不再破解密码，而是因为真正的弱点不在于此。”哥伦比亚工程学校计算机科学教授斯蒂芬·巴洛芬(StevenBellovin)说道。他表示如果你担心你的密码被猜出来，还不如担心你被网络钓鱼或者键盘操作被记录呢。

如果一个罪犯打算闯入一家公司窃取数据的话，吊诡的是他会使用默认密码——对于远程控制的现金出纳机系统来说这是个大问题——或是使用键盘记录软件偷来的密码，VerizonBusiness调查反应主任布莱恩·萨丁(BryanSartin)说道。“在我们所看到的所有的被猜出的密码中——尤其是那些破解初始阶段的密码——大多数实际上根本用不着破解。”他说道，“很多密码我们早就知道了。”

密码的重复使用对于使用者来说是一大隐患。网站可以屏蔽连续不断的登录请求，但要是它本身就被攻破了呢?“如果一个网站被攻破了，并且保存的密码被暴力破解，而一些密码又被用在别处，那你就遇上大麻烦了。”一家总部位于米兰的安全咨询公司“安全网络”的主席斯蒂法诺·赞让诺(StefanoZanero)说道。

僵尸密码

赫利和范奥斯浩特辩称这个问题的一大原因是因为电脑行业在大约10年前彻底放弃了密码，以至于没有足够多的严谨的研究来完善它们并了解密码在真实世界中是如何被猜破的。

要怪就怪比尔·盖茨去。

八年前，比尔·盖茨语言电脑密码很快将从这个世界消失。他说密码是电脑安全的一个薄弱环节，还说“毫无疑问随着时间的推移，人们将越来越少使用密码。”

盖茨的想法是我们将使用智能卡片或RSA安全ID认证两种方式来安全登录，不管我们走到哪里。这也是所谓的“双重认证”。你使用一个你记住的东西(你的密码)，然后为了更加安全，再使用另一样东西——你手边的东西(比如一张智能卡片或者RSA令牌)。

在专业杂志中，盖茨的预言被报道为替密码敲响了丧钟。然而八年过去了，在这段时间里，Facebook，Twitter和维基百科增加了数以万计的用户——所有的用户都使用平常的密码登陆——没有一个人使用智能卡片或者RSA令牌登陆。即使是微软自家强烈推荐的Cardspace便捷认证软件也一直是个浮云。

微软研究院：密码并未消亡，相反它越来越发展壮大。我们为当地新闻网站设置了密码，为在线看电影设了密码，我们的e-mail和社交网络也有了密码。

密码使得许多网站有了一种便捷而又相对可靠的用户登录方式，但是电脑行业对此须持谨慎态度。赫利和范奥斯浩特如是写道“像密码即将消亡这种不成熟的结论已经导致了许多关键的研究问题被忽视。”

他们认为我们需要多多研究何处使用密码是合理的，如何让它更加易用，并且还要了解密码被破解到底造成了多大的经济损失。对于这些密码的用户来说，损失又是多大呢?在另一份论文中，赫利估计每年对于复杂密码研究的耗时将导致美国商业界数十亿美元的产能损失。

这个问题在电脑安全界是一个争议性的话题。在经历了20年不断强调复杂密码的重要性后，谁会想去承认说这完全是牛皮吹太大了呢?

微软不允许赫利接受此次采访，但没有给出原因。

但赫利和那些有同样想法的人正在获得越来越多的支持。“他的立场让一些人难堪，因为他在对抗传统的观念，但总的来说我认为他是正确的。”巴洛芬说道。