密码的艺术

在最近一周中国互联网的用户密码大泄漏事件中,广大网民、肉鸡、麻瓜从纷繁的报道中唯一能记住的大概就是”不要在多个账户中使用相同的密码”。但这只是问题的冰山一角,我们每天要用到的密码少则数个,多则一打,要记忆十几个“优秀”的密码是一件极其痛苦的事情,而且还要定期更换!当然,忘记密码是一件更为痛苦的事情!

所以,密码已不再限于一个技术问题,连篇累牍的”密码三大纪律八项注意“救不了普通老百姓,难怪美国防部高级研究计划局(DARPA) 宣布密码将死,但幸运的是,我们依然有可能在电脑黑客并不擅长的文艺层面探讨轻松而有创意的解决之道。

终极的解决办法来了:把强密码写下来。我们必须正视一个血淋淋的现实:今后必须记忆多个复杂密码(至少对于在线支付和关键个人信息的网络账户、企业应用)。这样一来,不把最复杂的强密码写下来是不保险的,当然,写下来其实是不安全的。两害相权取其轻,还是写下来吧。

注意,写下来分两种,一种是写到纸上,贴在床头。另一种是“写”到一个统一的密码管理器里,例如iPhone手机的Msecure应用或者桌面端的RoboForm、Lastpass或keep ass,对不起,应该是Keepass里面,这些密码管理软件通常采用用高级密码加密低级密码的方法。

但是我们应该意识到密码管理器的局限性。密码管理器通常有两种备份密码的方式:云端和本地。云端意味着密码会被备份到一个远隔十万八千里的服务器上,这就好比你辛辛苦苦把鸡蛋集中放到一个篮子里然后挂在风筝尾巴上,这不是杞人忧云,Lastpass就曾经爆出被黑客攻破取走用户密码。

好吧,有人说他的Android或iPhone手机密码管理程序只有本地备份,实际上有相当一部分采用手机程序管理密码的人根本没有用U盘或者PC备份,手机一旦丢失或爆炸,所有的密码都需要重置。

不要害羞,即使你是一个自视极高的科技狂人,把密码写在纸上也不是什么丢人的事,微软的高管Jesper Johansson就曾经鼓励人们把密码记下来,说这样有助于人们鼓起勇气使用高强度密码。关键在于不要把记录密码的纸片贴在可能会脱离控制的物体例如钱包上,贴在家里显示器和或键盘的背面(如果你怕记不住保险柜密码的话),这些地方便捷而隐蔽,即使你出差时忘记密码,家人也不用以抄家的方式帮你找密码纸片。

除了写下密码这一“低科技”建议,我们最后推荐一种艺术性的,简单易行,不需要哈希算法的,让黑客而不是自己崩溃的强密码设置手段,这需要使用者灵机一动和发挥想象力的,选取一些生活中随处可见的,黑客攻击词典里永远不会出现的字串,例如笔记本电脑或者数码相机的产品序列号,每个季度你都可以选择家里一款数码产品的产品序列号更新密码,你只需要记住用的是哪款产品就好了。或者你书架里任意一本书的ISBN编号也可以,当然你还可以在在这些数字的基础上给黑客增加一点难度,例如在ISBN书号9787508615821前后加上三两个你有信心记住的英文字母(最好还有大小写)。当然,我们也不反对你每周购买一张机选彩票作为密码素材,看看是黑客幸运还是你幸运。

你还可以很写意地编一个句子然后利用第一个字母来制作密码。如“I want to punch my boss in his face  ”(我要扁老板的脸),就可以变成密码Iw2pmbihf。你还可以故意拼错字或置换字符,如把cashcow变成c@$hc0w。混合了大小写字母及数字(字母o换成数字0),就会比单纯的cashcow防护性强许多。最后你还可以使用万恶的£ 符号,很多黑客都没有把£ 列入破解列表当中,因此这绝对是一个“坑爹”的选择,不过要在非英国键盘上打出这个符号,需要按住 Alt 键然后再输入 0163,这意味着当需要用手机输入密码时,£ 会让所有人崩溃。

记住,密码通常是越长越好,构思再精巧的八位密码也不如13个ISBN数字串来得刚猛。不信你用这个密码安全网站测试一下。


延伸阅读: 网络安全的个人防黑术

第一时间获取面向IT决策者的独家深度资讯,敬请关注IT经理网微信号:ctociocom

   

除非注明,本站文章均为原创或编译,未经许可严禁转载。

相关文章:


关于作者

能用IT解决的问题都不是问题。 极客、科技作家、周末画报专栏作家、IBM商业价值研究院资深撰稿人;著有《软件的黄金时代》。邮箱:liuchaoyang@ctocio.com