怎样的密码形态最安全
密码是个让人又爱又恨的存在:设置的太简单、太复杂都有麻烦。为此,世界各地的开发者们夜以继日的为人们创造着各种新形态的密码,比如图片。
初创公司 Peekabu 的这个项目名为 Passage,希望用图片扫描取代传统的密码输入。具体来讲,用户在输入账号名称后,对着摄像头举起一张图片,系统通过图像识别算法,监测图片是否正确。
这张密码图,可以是一幅画、一张照片、或者一张驾照。每个账号还可以设置一张备用密码图以防万一。Passage 基于图像识别,能检测出非常细微的差别。现在这项服务仅能在网页上使用,移动端还要等些时日。
相比起字符密码,图片密码极大的降低了黑客攻击的概率,保证了密码的安全性,但是这样的方法好像不怎么方便:即便你设置了多个备用图片,也免不了出现“一个都没有带”的尴尬状况。安全起见,你会为多个账号设置多个密码,这也意味着每天出门要带上一叠图片。另外,图片具有可复制性,怎么让系统识别图片是正版的还是复印的呢?
密码的输入方式这个话题由来已久,至今,人们似乎都没有找到一样又合适又安全的方式来代替字符。苹果的指纹识别第一次亮相时,也引发了广泛的批评,为此,苹果还专门发布一系列的声明,表示 Touch ID“绝对安全”。
真的没有更好的办法了吗?来看看迄今为止出现的一些大胆创意。
电子气场。剑桥大学计算机实验室的 Frank Stajano 曾提出一种方案:电子气场(electric aura)。气场由身上的电子设备发出,范围是用户周边的二至三英尺内。气场能够确认设备所有人的身份,用户其它设备要正常工作的话,必须处于气场的范围之内。这不仅解决了密码问题,还有其它方面的应用,比如,盗贼可以偷走了你的车钥匙,但是打不开车门。
虹膜扫描。一家来自纽约的安全公司 EyeLock 也在尝试用更先进的生物密码来代替传统密码,他们的武器是虹膜扫描。Myris 就是他们带来的设备,它可以扫描用户虹膜上的 240 个关键节点,然后生成一个长度为 2048 比特的数字签名。使用时,使用者只要抓起 Myris,然后扫描一下眼球就能完成账号登陆。
意念密码。UC Berkeley School of Information 学校的研究人员使用生物传感技术,利用 passthoughts(暂译作密码意念)来通过计算机验证密码,前提是用户需要头戴一个 100 美元的设备——NeuroSky Mindset。它是通过蓝牙跟电脑无线连接,设备的传感器贴着用户的前额,然后从大脑获得脑电图信号。
心跳识别。Nymi 由多伦多的生物识别技术公司 Bionym 开发,该设备的特别之处在于,使用每个人独特的心电图来进行身份认证。研究团队发现可以通过提取心跳特征来创建生物识别模板。虽然紧张的时候心跳会加速,从而导致心跳波形发生改变,但本质上是相同的心跳模式。
这些令人眼花缭乱的密码技术,并没有成为主流,原因在于,他们大多需要一个外置设备,尤其涉及到生物特征(虹膜、心跳等)时。普通消费者并不愿意花费更多的金钱,来为自己“看起来很安全”的密码提供更多的安全性。
这么看来,指纹识别算是性价比较高的一种方式,不需要外置设备,集成在手机里就可以;安全系数高,指纹具有唯一性。最为关键的是,它正在成为一种日趋主流的方式。
不过说到底,密码安全的主动性还是在用户手里,1234abc 这样的密码,千万别用了。
题图来自 wired