老生常谈的密码安全

密码设置过弱是个老生常谈的话题。2006 年一项针对 3.4 万个 MySpace 用户账号密码进行的调查显示，最常见的四个密码分别是： “password1″、”abc123″、”myspace1″、”password”。

2011 年夏天，iOS 应用开发者 Daniel Amitay 为研究用户行为在自己的应用里做了个逼真的伪解锁界面，成功收集超过 20 万用户解锁码。其中出现次数最多的前十个组合是：1234, 0000, 2580（键盘中间四个数字）, 1111, 5555, 5683（数字键的 LOVE）, 0852（2580 反过来）, 2222, 1212, 1998。

最近剑桥大学的计算机研究人员 Joseph Bonneau 对 7000 万雅虎用户的账号进行分析后发现问题依旧——账号信息经过加密，他无法访问单用户信息。Bonneau 介绍说密码强度以 bits 衡量，一个由数字、大写字母以及小写字母随机构成的 6 位数密码强度为 32 bits。但雅虎用户自己设定的密码平均强度低于 10 bits，很容易被攻破。

此外平均来看，为账号绑定信用卡的用户在设置密码时并不比未绑定信用卡的用户高。反倒是 55 岁以上用户明显更听从安全建议，设置的密码安全系数较高。

有人会觉得网站明码保存密码和另辟蹊径的社会学攻击让完全保密成为空谈，但更复杂的密码仍有必要，不能因为做不到 100% 安全就用 “qwertyui” 作为付款密码。这也是为什么 Google 推出复杂的两步验证机制保护 Gmail 账号、苹果 ID 密码的强度要求越来越高、微软也在 Windows 8 一改以往策略，默认启用密码。

不过如果一件事被强调了几十年还不见好转，责任肯定不在用户。记忆由无意义数字和大小写字母组成的密码本身就是强人所难。何况现在泄密事件时有发生，用户得记一堆密码才能真正改善安全性。

这件事让我想到一个不太靠谱的传闻。Insideris.com 前两周发布一条没来源的消息说微软计划在 IE 11 中引入全新安全机制，浏览器将生成长串复杂的密码用于网站登录。用户通过指纹扫描或者对着 Kinect 作出特定动作（例如微笑）方能解锁——比面部解锁好的一点是 Kinect 的双摄像头不容易被照片骗过。

说这不太靠谱是因为硬件要求太多，而且 Kinect 精度还不够高，尚且没法识别手语，更别提微笑。指纹扫描更不靠谱，计算机附带的那些可以用贴纸轻松骗过。

不过抛开硬件限制，这样的思路本身挺合理。跨平台应用 1Password 就采用类似逻辑，鼓励用户为不同网站设置不同的复杂密码。1Password 自带浏览器插件，理论上用户只需要记得 1Password 的密码就能自动登陆所有网站。但 1Password 毕竟只是一个第三方应用，而且价格不菲，Mac+Windows 就要 70 美元，注定只是小众产品。若 Google、微软、苹果这样的平台拥有者能够推动，前景会很不一样吧。

题图来自 Ron Bennetts