论文部分内容阅读
密码帝国
现代生活蕴含着一组雷打不动的机械行为——将你过世宠物的名字输入各类网站的密码栏中,每周三次,风雨无阻。接着,网站温馨提示您“密码输入错误”。打电话给客服人员,听到无休无止的广告和琐碎复杂的菜单。现代人就是这样丢掉小命的。我们的祖先寿命短,野蛮粗鲁,要不死于难产,要不血染沙场,但至少他们不用记密码,这很关键。
“密码暴政”在我们的现代生活中开辟了一块殖民地。这些“小独裁者”们拒绝我们访问自己的银行账户、宝宝相册、手机卡合约信息乃至采暖系统。它们像细菌一样不停繁殖,但你永远找不到与账号匹配的那个。它们是我们男友、女友、孩子或宠物的名字。一位足智多谋、野心勃勃的夙敌或许在你读这段话时已经破解了你的密码。
多数时候,记不住密码仅仅惹人烦恼。但某些时候,密码失忆症甚至能左右人生。比如33岁的德籍程序员斯特凡·托马斯,就因忘记密码丢掉了价值2.2亿美元的比特币。他将此事公之于众,引发了一场热议。一笔属于自己却无法追回的巨额财富,得多让人捶胸顿足、痛心疾首啊!
托马斯在硬盘和U盘里保存了三份比特币的密钥副本。硬盘里的两个因为软件更新失效了,而U盘那份是加密的,只有十次试密码的机会,一旦用完就会永久加密,再也打不开。托马斯还剩两次机会,可他确实想不起来,“我躺了好几周,盯着天花板,心灰意冷。脑子里冒出一点想法,就挺身而起,跑到电脑前尝试,可都没用,我只好继续发呆。”托马斯说,“但现在的我非常感激那段日子。”因为他最终无法忍受,爬下了床,在科技领域稳扎稳打,开创了自己的区块链公司Coil。
并非所有人都能从如此痛苦的打击中走出来。“我就碰钉子了,”35岁的加密货币交易员詹姆斯·豪威尔斯说,“他们居然都不肯和我谈谈。一想到那些比特币现在的价值,我就觉得他们太蠢了。”“他们”指的是当地垃圾填埋场的所有者纽波特市议会。豪威尔斯不慎將一个硬盘扔进了垃圾桶,里面含有他2009年“开采”到的比特币的私钥。如今,这些比特币价值2.87亿美元。他非常急切地想要挖开垃圾填埋场,以致承诺将比特币价值的25%捐给当地政府。出于对成本的考虑,市议会八年以来多次拒绝他的申请。当被问到“为何放不下”时,豪威尔斯可怜巴巴地说:“我只是在请求一次找回自己东西的机会。它属于我,但我愿意分享。只要它还在那里,就有机会。即使渺茫也得奋力一搏,否则如何释怀?”
人类通病
我们遗失东西,忘记它们的存在,这是我们的本性,也是人之为人的原因。“失去的艺术不难掌握。”伊丽莎白·毕肖普在其诗歌《一种艺术》里如是写道。生命是一个不断与失去妥协的过程。我们乖乖听从毕肖普的话,“每天都弄丢东西”:外套、书籍、背包、手机、朋友、金钱、爱人、执行力……最后是我们自己。当然还有密码,每个人平均有近80个密码,但可能一个也记不住。
科技公司成为了大量个人数据的“保管人”,在保护我们的同时从中牟利。多年来,我早已忘记自己的谷歌账号密码,后来我买了一部新手机,它竟然奇迹般地让我重新登录了谷歌。过去的我像肉冻一样晾在谷歌相册里。意识到谷歌对我生活的记忆力显然高于我本人这点,我心中五味杂陈。
密码冗长乏味,人类不善于跟它打交道。“毫不夸张地说,每年都有数十亿密码被破解。”密码管理工具LastPass的员工杰拉尔德·博伊歇尔特说,“这是人类的通病,每天都在发生。”谷歌和民调机构“哈里斯”2019年进行的一项调查发现,52%的人都有在不同账户使用同一密码的糟糕习惯。
“最安全的密码是随机产生的。”卡内基梅隆大学的密码研究员洛丽·克拉诺说,“但人们不擅长生成和记住随机密码。”她说,我们关于密码的几乎所有直观判断都是错误的,“如果你实在记不住密码,就写在笔记本上,藏起来,我就不信黑客还能跑到你家里。”
根据高德纳咨询公司2017年发布的一项研究,互联网公司服务热线接到的电话中,有20%~50%是为了重置密码。微软公司的网络安全专家仙·约翰说:“这通常发生在一月的第一周或暑假后,人们度假回来就不记得密码了。”
密码揭示了人性的共通之处。“我们想法一致,会耍同样的小聪明。”克拉诺说,“很多人以为在键盘上敲出对角线创建密码很机智,殊不知这早已被写入黑客教程。”约翰曾经玩过一个游戏,问朋友们五个问题,然后猜他们的密码。“他们的父母、兄弟姐妹、孩子和宠物叫什么,他们的纪念日和生日在哪天,他们最喜欢的运动队……”约翰说,“我一般能猜中70%。”
我们不会让家门大敞,但却对密码持放任态度,每天把数字账户暴露在网络犯罪的危险之中。黑客借助某人在网上分享过的信息,或与先前破解的密码相匹配,就能黑进他的账号。当下最为常用的是暴力破解软件,它能尝试黑客字典中数以千计的密码,直到找到正确的那个。“你可以在十分钟内破解大多数八位密码。”博伊歇尔特说。世界经济论坛估计,网络犯罪每分钟给全球经济造成的损失高达290万美元,其中80%的攻击都与密码有关。
解决之道
对老人来说,他们发现自己需要记住的密码简直令人眼花缭乱。“妈妈耳朵不好,没听清电话银行的验证问题。”阿纳舒亚·戴维斯谈到自己84岁的母亲迪玛,“她不记得密码,所以输错了。”她经常得帮助年迈的父母重新登录账号。
去年,因为密码输入错误次数过多,迪玛的电话银行账号被锁。戴维斯特地载着母亲去了银行解锁。她没有迁怒于银行太过严格的安全协议,“没办法,到处都有人伺机偷点什么。”但戴维斯希望能有办法让事情变得更简单,“对于像我父母这样的老年人来说太不容易了,他们很难跟上节奏。”
密码管理器可能是解决之道。“这些手机应用和小型软件帮你把不同的用户名和对应的密码锁在‘保险柜’里。”博伊歇尔特说。而像LastPass一类的密码管理器则为用户的不同账号随机生成难以破解的密码,并保存下来。“用户只需记住主密码就行,”博伊歇尔特说,“其余事情交给管理器。”这相当于家中记满密码的笔记本,只不过它是数字版的,而且安全系数高。
这一切的前提是主密码攻不可破。LastPass建议最少12个字符,当然越长越好。一段绝佳的长密码由随机的字母、数字和符号组成,能被你念出来——这意味着你可以记住——但与个人信息无关。LastPass不会将用户的密码集中存储在PC端的某个地方,因此即使黑客黑进了你的系统,他也很难找到正确的密码。“用户享用的是最高级别的安全服务。”博伊歇尔特说。
但话又说回来,如果连主密码都不用记,或者以后再也不需要记任何密码,那不是更好吗?幸运的是,这一天终将来临。“我们正向无密码的未来迈进。”约翰说,“要我说,对于普通消费者而言,两到五年就可以告别密码了。”
通向未来的钥匙是生物识别技术。以色列网络安全初创企业BioCatch开发的一款软件可以分析和识别用户移动鼠标的独特方式,借此逮住那些冒充用户的网络罪犯。也有企业正在研发耳廓识别技术。另外,基于用户拿手机的习惯,我们还能通过加速度传感器来检测手机状态,以此识别用户。“我们将迎来一系列生物识别技术,”克拉诺说,“不仅是指纹,还包括声音、步态,以及拿手机的方式。”
谷歌安全部门主管马克·里舍表示,公司尚未开始研发替代指纹和面部识别的高科技软件,“指纹识别技术性价比高且耐用,而耳廓和气息识别太深奥,还处在课题阶段。随着它们走入主流,我们希望可以进行投资。”
生物特征数据植入我们日常生活的关键在于,这些数据永远都不离开设备本身。“确保它们待在手机和笔记本电脑里,不被分享,否则相当于创建了一个极其敏感、被网络罪犯觊觎的数据库。”
或许再过不久,我们的生活将变得畅通无阻,不再被密码束缚。但在这一天来临之前,我们还是得辛勤劳作,紧锁眉头、满怀希望地敲打着键盘,因为不停闪烁的电脑屏幕上写着“密码错误,拒绝访问”。
[编译自英国《卫报周刊》]
编辑:要媛