导语:美国《华尔街日报》网络版今天刊登题为《尽管数据大盗盛行但密码仍有生命力》(Despite Data Thefts, the Password Endures)的评论文章称,虽然密码技术存在种种弊端,而且引发了诸多数据泄密事件,但由于其成本低廉、使用简单的特点,还是获得了普通大众的青睐。更何况,对于已经习惯了密码的用户来说,要转用全新的技术并非易事。
以下为文章全文:
密码噩梦
二十世纪六十年代初,当费尔南多·卡巴托(Fernando Corbató)在麻省理工学院创造出第一个电脑密码时,他完全没有想到,一个潘多拉魔盒就此打开。
“这就像一场噩梦。”这位 87 岁高龄的退休研究员说,“我认为没有人能记住所有的密码。”
密码是不仅为电脑和智能手机用户埋下了祸根,还给各大企业带来了安全隐患。本周三,eBay 呼吁该公司的 1.45 亿用户更改密码,原因是该公司发生了数据泄露事件。但从以往的经验来看,恐怕没有多少人会留意到这种警告。
上月有专家披露了名为“心脏流血”的网络加密漏洞,成为了互联网发展史上最严重的漏洞之一。该漏洞可能会将数十亿密码暴露给黑客,但美国皮尤研究中心的调查发现,只有 39% 的成年网民在该漏洞曝光后取消了账号或更改了密码。
“密码太可怕了,应该将它‘枪毙’。”杰里米格兰特说,他所领导的美国国家网络空间可信身份战略项目(National Strategy for Trusted Identities in Cyberspace)是 2011 年由奥巴马总统创立的,目的是加强网络安全性。
广泛渗透
尽管存在种种不足,但密码早已渗透到人们生活的方方面面。它成本低廉、应用广泛、易于使用,而它的替代方式至今没有取得太大的进展。
“这是唯一一项从 50 年前沿用至今的技术。”eBay 旗下 PayPal 业务高级网络安全顾问布雷特·麦克道威尔(Brett McDowell)说。
有人希望用指纹识别器、虹膜扫描器和 USB 密钥取代密码,一系列的失望令企业高管、科学家和政府官员开始怀疑这种计划的前景。麦克道威尔和美国银行、谷歌及其他企业的管理人员都在合作推动一个名为 Fido Alliance 的密码替代项目。
该项目最近发布了一套可以用于其他在线身份认证形式的早期标准。PayPal 正在使用该标准,而谷歌的内部测试也获得了不错的效果。
苹果公司的最新一代 iPhone 就使用了指纹解锁功能,但有用户认为,输入密码跟把拇指放在读卡器上解锁手机的方式一样方便。
没人知道世界上究竟有多少密码,部分原因在于它们渗透得太快,根本无法追踪。智能手机、平板电脑和其他移动设备的使用量大增令情况进一步恶化。社交网络和电子商务网站通常也都需要用户使用密码登录,从而为其提供个性化的内容和广告。
数据泄漏
尽管数据泄密和安全警告不绝于耳,但人们还是坚持使用易于记忆的密码,而且经常在不同账号中使用相同密码。
“世界上最常用的密码就好比世界上最常用的宝宝名字。”密码管理公司 SplashData CEO 摩根·斯雷恩(Morgan Slain)说,该公司每年都会发布一份年度“最差密码”榜单,几乎每年的榜单都不会有太大变动,包含了“123456”、“password”和“qwerty”等最常用的密码。
49 岁的杰夫·迈尔斯(Jeff Mayers)想出了自己的办法。这位前心脏外科医生目前在 Gilead Sciences 公司从事药物试验,他表示,自己每个月都会在现有密码后面增加一个数字。
“任何人只要有一点黑客技巧,都能立刻破解出来。”他说。
替代方案
谷歌和 Twitter 等企业都在通过两步认证模式来应对黑客攻击。在用户输入密码后,还要再输入一个通过手机短信接收的认证码才能进入账号。
这种模式较之于单纯的密码更加安全,但如果手机丢失,仍会造成困扰,而且会放慢进入账号的速度。
“所有这些都会制造额外的阻力。”EMC 旗下数据安全部门 RTSA 前高管尤里·里弗纳(Uri Rivner)说。他最近参与创办了一家名为 BioCatch 的公司,可以帮助各大网站通过用户手持智能手机或在屏幕上拖拽鼠标的方式认证其身份。他补充说,一些主要的美国银行已经开始使用这项技术,但他拒绝披露这些银行的身份。
即使是最聪明的密码,其安全程度也会受到负责存储它的公司的限制。黑客可以借助“心脏流血”漏洞窃取企业服务器上受保护的数据。
塔吉特公司表示,黑客去年利用从制冷承包商那里窃取的密码入侵了信用卡和借记卡系统,从而盗取了 4000 万张卡片号码。
目前还不清楚有多少人可能成为这两起入侵事件的受害人。自此事发生以来,塔吉特已经采取了很多措施将有价值的数据与其网络的其他部分隔离开来。在“心脏流血”漏洞今年 4 月曝光以来,已经有数十家网站呼吁用户更改密码。
阻力犹存
PayPal 允许用户在最新的三星 Galaxy S5 智能手机上使用传感器完成购物。苹果 CEO 蒂姆·库克(Tim Cook)也曾表示,在为最新一代 iPhone 添加指纹识别芯片时,该公司的高管就曾考虑移动支付功能。
苹果的系统目前只能兼容 iTunes 等该公司自己的产品。PayPal 用户却可以在任何部署 Fido 标准的网站上使用相同的指纹。当然,当 Galaxy S 和 iPhone 5s 的指纹失效时,用户仍然需要输入密码。
美国加州大学伯克利分校博士生斯图尔特·盖格(Stuart Geiger)专门研究人与技术的互动方式,他表示,要彻底抛弃密码,需要硅谷各大企业的通力配合,这几乎涉及从网络购物到视频聊天的各个领域。
即使真的开发出了能够彻底取代密码的技术,数以亿计早已习惯了密码的美国网民是否真的愿意为了提高安全性而改变设备使用方式?“惯性是个重要问题。”他说。
当今的种种乱象早已超过了麻省理工学院教授名誉退休教授卡巴托当初的想象,他和他的同事当年之所以开发密码,只是为了在共用的电脑上控制文件访问权限。
“我们当初也没有预见到互联网的诞生。”他说。为了记住自己的各种密码,卡巴托会把它们都写在纸上。而现在,他则将这些内容都存储到在线文件中。
相关文章
