开篇本想吐槽网络时代带来的密码泛滥,可在下笔之前准备登陆我有些日子没用过的“印象笔记”App,查查以前的一篇读书笔记,苦于又一次忘记密码,只能打消这个念头。
记不住密码其实是小事,比起你的密码被别人知道,我宁愿选择在保护密码上耗费更多的精力。道理很简单:挤公交地铁时,许多人会把包挂在胸前。虽然不美观,但防盗效果很好,因为我们知道包包里有钱包和手机,所以值得牺牲舒适性;换门锁时候,许多人会花钱买级别更高的锁芯,其实自己心里知道这只不过能多挡住盗贼几分钟,但我们心里会踏实一些。
我们现在面临的现实是,虚拟(网络)和现实世界紧密结合,原来单一的个人保密机制不论是自愿还是被动,都被卷进了信息共享的潮流之中。其中密码就是联结我们和网络世界之间的钥匙,有的甚至是存着真金白银的金库钥匙。所以怎么把这把钥匙配好、保存好,其重要性不言而喻。
我这里提出了两个条件:设置和保管。其实对于网络密码来说只要遵循一个逻辑就能完美解决这个问题:
一定要设成自己记不住的密码,并经常更换!
读到这里先别着急吐你口边那一万句槽,接着往下看。
这句话看似简单武断,实则包含了以下几方面的含义:
密码不能有意义;
组成密码的各部分不能有意义;
一个密码不能做改变地使用很久(重复登录很多次);
现在还那么想“喷”吗?如果好奇,咱继续说。
密码不能有意义
上世纪末网络刚刚兴起的时候,许多人觉得“密码”这个事特别多余。上网聊个天,发个邮件都得需要密码,我用手机发短信多方便。可是没办法,不设密码你都登录不上来。怎么办呢?那就填写生日和电话号码吧。
假设某人生日是1990年1月1日,那么密码就写成199011或19900101,或者改变一下顺序,写成01010991等等。
OK!密码牢牢记住,不出意外,这组数字是不可能忘掉滴。那么你有没有想过,破解这串数字需要多久呢?以当时最笨重的办法,以小时记应该富富有余了,这还是算上用当时龟速的网络下载破解工具的时间。
在第一批网民里,很多人的密码就是被这么破解的。
组成密码的各部分不能有意义
大型网络密码泄露事件不时发生,怎么办?群众的积极性和认知水平提高速度太慢,而大家又不能终止或者说暂时减少网络活动,那网络服务商只好从后台技术入手强制用户提高密码长度下限,并且不允许使用纯数字或纯字母作为密码(大家还记得早晨起来被迫改QQ密码的心情吗)。
嘿嘿,政策是出来了,那用户又是怎么应对的呢?我们就把刚才那位生于1990年1月1日的朋友命名为“小强”。原先他的密码都是纯数字,不符合新规要求。那么他现在的目标是必须得在生日的基础上被迫加进英文字母。
什么字母最好记?用脚都能想到用自己的名字嘛!于是新密码有了,不怕麻烦就用xiaoqiang+生日,要是图省事就用XQ+生日,或者把名字放到生日后等等,可以有很多种组合。
这里就出现一个问题,为什么我们的第一反应总是倾向于把几个有意义的部分组合从而形成新的密码?这是由人类脑部的特定结构决定的。有意义的东西,不管多长,都可以算作一个区块,同样长度的密码,记忆区块越少就越好记。而我们从小接受的教育就是如何挺高记忆力、增强大脑的使用效率,这与我们设置密码时的逻辑是一致的。
虽然密码长度增长、组成元素种类增加,看起来破解难度上升了。可黑客们破解密码时只要逻辑与我们刚刚讲到的记解逻辑相反,就很容易能够破译。在他们的破解逻辑中,并不指望去破译所有人的密码,对每一个用户的攻击都会在若干尝试时间后停止。对于他们来说,你支付宝或网银里的金额不重要,关键是效率,在单位时间内能破译的更多就算成功。
一个密码不能不做改变地使用很久
随着网络信息越来越真实化、网上资金的流转数额越来越大,密码被破译后带来的后果越来越严重。于是网络服务商又推出了更加严格的密码规则:现在你设定密码时,有一个聪明的“守门人”会决定你设置的密码强度(复杂程度)够不够,如果不符合安全规则,你的密码就设置不成功。
于是我们被逼着对密码进行各种各样的调整,比如加入了下划线、各种奇怪的符号、颠倒的字母和数字顺序……最后,这个“守门人”终于龙颜大悦——密码强度足够,放行!
这时你马上要做的就是赶紧找张纸把新密码记下来,因为转身就会忘了这么复杂一个玩意儿。转了这么大一个圈,你现在明白我在文章开头说的那条唯一的心法了吧——我终于拥有了一条自己都记不住的密码!以后我就靠它行走江湖啦,绝对安全!
可是你大错特错了。
道高一尺,魔高一丈。人家黑客现在攻击的武器又改善了,用大数据搞你,具体点儿说,叫“撞库”(详查百度百科)。
从前破解密码,是一个一个网站来,现在不是了,是一堆一堆的做。破解了一个网站,立刻去另一个网站做用户名的比对,见到一样的或者类似的,就用已获取的密码碰运气。在这个买菜的大爷大妈都会发红包的时代里,每个人都有很多个账户,不充分利用一下您那虽然复杂却“一码多用”的密码多可惜呀。
所以,当你郑重其事地找到一个隐秘的地方,把那条“永远不会被记住”的密码端正地保存好的时候,放弃那些绝对安全的幻想吧,狠狠告诉自己:“这仅仅是个开始!我还要N次来到这里换掉密码!”这不是臆想,专家建议,30天更换一次密码,在目前阶段可以使其被盗的几率降低至接近0%。
好啦,现在你明白什么是最安全的密码了吧?不是技术、而是人性!这是一个不断循环往复的过程,而你,为了自己的信息安全,做好打持久战的准备了吗?
