从忘记密码谈密码安全

打开浏览器，试图登录GoDaddy.com去给域名续费，却死活也记不起密码——笔者有五组常用的密码，其中一组用来登录无关紧要的新闻网站或论坛，一组是社交网站通用密码，两组用来覆盖金融与支付业务，还有一组是谷歌相关专用。尝试了前三种，没成功，系统跳出提示：您的账号已被锁定，请稍后再试。

类似的经历相信大家都有犯过，有时不得不尝试使用找回密码服务，不过，网上的账号和服务越来越多，所需要管理的密码也就越来越多，统一密码，风险几率几何倍上升。大多数人和我一样有着几个（几组）不同的密码，有相应的安全级别，根据重要性设置不同的密码。当然，这样带来管理上的麻烦。

关于密码的痛苦当然不是笔者个人的专利，否则这些互联网产品也不必个个都在账户密码输入框旁放上“忘记密码？”的超链接。这痛苦亦是进步的源动力，如今，科技行业巨擘与弄潮儿们已开始研究替代产品，试图彻底干掉密码。他们的研究已初现端倪：三星新鲜出炉的Galaxy S5就具备一个激进的功能，它允许用户靠指纹连接登录自己paypal账号。

这样安全吗？新科技从不缺怀疑者。当Galaxy S5的指纹付款功能被拿到媒体上讨论时，反对者们立刻开始质疑它的安全性。“要是有人盗用你的指纹怎么办？”他们问，就好像现实世界跟科幻小说和间谍电影之间并无分别，就好像盗用指纹是一种常见且简单的犯罪行为。然而，这些充满想象力的反对者却忘了问这样一个问题：传统密码又真的安全吗？

在最近这几年里，但凡是稍微关注科技新闻的人，都多多少少会知道一两起密码泄露事故。2014年4月曝光的“心脏流血”漏洞让全球几乎每一个互联网用户都陷入危机，攻击者可以利用这个漏洞窃听到用户的敏感数据，其中可能包括了用户名、密码、银行账号等等。至今，心脏流血漏洞服务器的安全隐患97%都未完全消除，消除漏洞不仅仅是打上补丁那么简单。

更要命的是，这个漏洞存在了两年才被人发现，而且，该漏洞特性决定了黑客可以“隐形”操作，也就是说，从这个漏洞泄露的数据是无法追踪的。在这样的灾难面前，专家的建议只能是“尽快更换密码”，因为被窃取的账号和密码已不再是你的保护盾，而是交到小偷手上的钥匙。

诚然，“心脏流血”这样的灾难性事件不会经常发生，但无法回避的是，单个网站的密码失窃事件层出不穷。由于不少论坛和网站还采用落后的明文储存密码方式，数据库一旦被黑客攻破，账号与密码就直接暴露在黑客面前。2011年，国内知名程序员网站CSDN社区数据库泄露，导致了近600万用户的真实账号、邮箱和密码外泄，令中文互联网世界几乎人人自危，微博上疯转各类“设置安全密码安全守则”，很是掀起了一阵改密码之风。

如果说数据库泄露是大面积的飞机轰炸，那么针对个人的黑客袭击更是极其危险又防不胜防。现今OpenID协议流行，各大网站都彼此相连。我的邮箱是淘宝、微博与Paypal账号的恢复密码手段，而且，用我的微博又能直接登录知乎、京东和一号店和若干论坛。这也就意味着，一旦我的邮箱被黑客侵入，我的网络生活就彻底乱套了。于是我必须要知道，侵入我的邮箱到底难不难？

我常用的邮箱是Gmail。根据谷歌的说明，如果我遗忘了自己的密码，我可以通过备用邮箱找回密码。我的备用邮箱是一个已经废弃的hotmail，没有绑定过手机，可以通过一个问卷调查来找回密码。黑客只需要知道我的真实姓名、出生日期和所在地，知道我就读小学的名字以及我10年前的常用密码组合和常联系的网友邮箱地址，就能重置我的密码—这实际上非常简单，这些信息几乎都是“百度一下，你就知道”（是的，托CSDN的福，我当年的密码也并不是我的个人秘密）。于是，大概只需要5分钟，我的网络人生就能被黑客彻底接管了。

所以你看，想要通过账号密码来冒充你的身份实在太容易了。黑客们并不需要高超的编程技巧，只需要充分利用能够在网络上搜到的信息即可。事实上，国外甚至还有专门的黑客网站提供此类服务，一个懒惰的黑客只要肯付出4美元和2分钟时间，就能得到你的信用卡账号、电话号码、身份证信息和家庭住址；再多5分钟，淘宝、亚马逊、Netflix和微软账号就归别人了；20分钟后，Paypal账号也将易主。

怎么办？给密码加个套！

专家们都会建议用户加强对账户的保护，比如每三个月就换一次密码等等。可是俗话说得好，从来只有千日做贼，哪有千日防贼的道理？从用户角度来说，无论是大规模泄露，还是有心人士的暗算，这都是防不胜防的。所以，为了让用户能够活得更安全更轻松，专业人士们就开始思量着怎样给密码加个套。

首先蹦出来的解决方案就是双因素身份认证。简单来说，双因素身份认证就是通过已知信息结合认证设备才能发挥作用的身份认证系统。例如，在ATM上取款的银行卡就是一个双因素认证机制的例子，你必须得知道取款密码（已知信息），而且拥有银行卡（认证设备），才能进行提款及转账操作。

目前，市场上常用的双因素认证技术包括数字证书和动态密码等等。

数字证书包括软件证书和硬件证书两种。软件证书如同支付宝的数字证书，使用简单，只要在信得过的电脑上安装数字证书，就能够将电脑变成认证设备。然而，这种方式也有很高的风险，一旦软件数字证书被人拷贝走，认证设备的可靠性就被破坏了。所以目前国内的商业银行已经相继放弃了这种方式，转而使用硬件数字证书，也就是人们常说的USB-key（U盾）。这是一种安全系数非常高的身份认证方式，但制造和物流成本都较高，还需要额外携带，所以也并非市场的绝对王者。

对于互联网公司来说，更常用的手段是动态密码。以设置了短信验证的支付宝为例，用户在每一次用支付宝付款的时候，会通过手机短信接收到一个验证码，必须在一定有效时间内输入正确的验证码和支付密码才能支付成功。当然，动态密码是有使用成本的。腾讯规定每天只能免费发两条验证短信，支付宝在开启认证之后会每月收取小额费用，最贵的莫过于微软，微软的多因素验证服务使用成本为每月每用户2美元或者2美元十次验证。

在双因素认证系统下，密码的安全性就得到了大幅度提升。比如说，我开启了谷歌的短信提醒功能，如果黑客试图重置我的密码，我会收到一条提醒短信；我又开启了双因素验证功能，所以黑客在登录我的账号时也会遇到麻烦，因为在使用陌生电脑登录账户的时候，谷歌会要求他必须输入正确的短信验证码。

当然了，如果黑客从某个渠道偷到了我的电脑或者手机，又或者能够像NSA一样监控我的手机短信，那双因素验证也拦不住他们。但至少，黑客付出的花费将远远不止4美元和20分钟。

还有一种认证方法，就是采用生物识别技术，比如说iPhone和Galaxy S5的指纹识别器，又或是我们在好莱坞电影里常常看见的虹膜识别器跟声纹识别器等。从理论上说，生物认证技术是更安全的认证技术，因为每个人的指纹、虹膜和声纹都不一样，被盗用的风险很低，而且不受手机信号覆盖范围或者忘带U盾等问题影响。但它对硬件设备要求较高，而且实施起来比较麻烦，所以流行度并不高。

任何密码安全都是相对地，要有良好的安全意识和行为习惯，这比设置一个复杂的密码要可靠的多。人往往习惯于简单的方法，如果一种方法非常简单易用，而且相对安全，拿就是一个好的解决方案。