斗膽讓我猜猜：你上網(wǎng)用的所有密碼——網(wǎng)上銀行、郵箱、網(wǎng)購、twitter和facebook的登陸密碼——在你腦子里是亂七八糟。你也非常清楚，訪問不同的網(wǎng)站，必須選擇一串不一樣的、排序復(fù)雜的字母、數(shù)字和符號做密碼，然后把它背下來。(先人的智慧教導(dǎo)我們密碼守則第一條：絕對絕對不能把密碼寫下來。)可是你不會真這么做，因為你知道自己的腦子沒有這種能力。于是你選擇用熟悉的單詞來注冊每一個網(wǎng)站：比如自家狗狗、你家那條街的名字，再加幾個臨時想到的排列，比如“123”作為結(jié)尾。也有可能你真的遵守了那條守則，也因此在登陸銀行賬號的時候常常被鎖起來，或不停回憶各種荒謬的安全問題的答案。(“你小時候最喜歡的運動是什么?”我現(xiàn)在就被問到這一題，可是我小時候最喜歡做的“運動”就是想方設(shè)法翹掉體育課。iTunes商店還有一個問題是問客戶他們“最不喜歡的車子”是什么。)最可怕的是，最近幾年，你還會被逼著設(shè)一個字母混合大小寫的密碼，可有哪一個正常人能記得起如此多重組合的排列呢?至少那個人肯定不會是你。

　　如果你覺得自己設(shè)的密碼太差勁了，我有個理由能讓你不那么愧疚：這樣的爛密碼是普遍存在的。上個月，PIN密碼泄露事件的分析報告顯示，大概有十分之一的人會選擇“1234”做密碼;而最近雅虎網(wǎng)安全漏洞事件也讓我們發(fā)現(xiàn)，有上千名用戶設(shè)置的密碼要么是“password(密碼)”“welcome(歡迎)”“123456”要么就是“ninja(忍者)”。人們總是會設(shè)一些爛到不行的密碼，甚至拿它去保護一些比自己的存款還重要的東西。軍事安全專家們大都知道，在冷戰(zhàn)高峰時期，美國核彈的“解鎖密碼”竟然是00000000。五年前《新聞之夜》亦曾揭露：1997年以前，英國部分核彈的鑰匙鎖，其本質(zhì)就是一個自行車的車鎖。至于怎么選擇讓彈頭在空中還是地面爆炸，只要用宜家的內(nèi)六角扳手(Allen key)就可以搞定。而這些根本就不是密碼。遇到敵方攻擊的時候，快速反擊比其他什么都重要。

　　我們的密碼處在危險之中，而這也成了邪惡的黑客和“掛羊頭”的安全測試人員一場又一場“軍備比賽”。可是你只要跟那些內(nèi)行人聊聊，就知道先人的智慧其實也是值得商榷的。舉個反例：把密碼記下來可能才是一個好主意。有些老板會命令員工90天更換一次密碼，這可能并不是在提高安全性，反而是給自己惹麻煩。同樣的事情也發(fā)生在一些銀行的密碼設(shè)置規(guī)范上：密碼不能超過12個字符，不允許使用空格鍵，等等。而在所有規(guī)定之中隱藏的真相是：密碼——作為保護人們在互聯(lián)網(wǎng)上的私人資料的途徑，最后卻在根本上被違背了它的本職。我曾向一個經(jīng)驗豐富的網(wǎng)絡(luò)安全研究員比爾·切斯維克(Bill Cheswick)指教，問他有沒有辦法能一勞永逸地解決這一問題。他想了一會兒，提議道：“就把你的電腦燒掉，然后滾海邊玩兒去。”盡管你的腦子可能已經(jīng)亂得不行，但還是有既安全又不會失去理智的方法。只不過這種方法跟以前別人教你的不大一樣。

　　密碼破解手法形式多樣，然而當中最重要的反而不是靠邪門歪道，而是靠蠻力強行攻擊。舉一個例子：有一個黑客，他潛入一家公司的服務(wù)器，準備偷取一份文件，文件上記有上百萬條密令。這份文件(但愿)是被加密的，因此他不可能直接登入這個賬號。假設(shè)文件里的密令是“hello”(當然沒那么簡單)，在文件中它就會被加密為類似“$1$r6T8SUB9$Qxe41FJyF/3gkPIuvKOQ90”的字符。他不可能隨隨便便就把這行亂碼解開，因為他知道文件是被“單向加密”的。而他能做的，僅是將所有上百萬種可能性加入同一個加密算法進行測試，直到其中一個密碼剛好中獎，得出的結(jié)果與那一連串的亂碼相符合。只有這樣他才知道自己找到了那個密碼。(有一種附加的加密技術(shù)被稱作“salting”，它可以阻擋這種攻擊，但現(xiàn)在尚不清楚有多少公司真的使用了這項技術(shù)。)

　　這時，密碼長度所能產(chǎn)生的你無法想象的作用。假設(shè)有一個黑客的電腦每秒鐘能猜測1000種五位純字母、完全隨機、全部小寫的密碼組合，比如“fpqzy”，那最多需要3小時45分就能破解成功。現(xiàn)在只要把密碼設(shè)成20位，破解的時間自然就會增加一點：要花650萬兆年的時間。

　　現(xiàn)在就有一個人為預(yù)測的問題。畢竟沒有人能想出一個字母與數(shù)字完全隨機的排列組合。相反，人們會遵循一些自然規(guī)則，比如用一些已經(jīng)存在的單詞，然后將字母O用數(shù)字0代替，或者在姓氏后面跟上一個年份。黑客們也知道這一點，所以他們的破解軟件會綜合這些規(guī)則進行猜測，從而有效減少時間，快速猜中目標。每次，在一百萬條密碼中都能出現(xiàn)一個新的漏洞，這就像2010年的Gawker事件和今年的雅虎事件【注1】一樣，而每次黑客們都能借此有效學到人們設(shè)置密碼的新知識，也使得他們破解密碼更加輕而易舉。你可能以為自己夠聰明，能想到一個絕佳的方法設(shè)置密碼，其實黑客們早已熟稔于胸。

　　所以說，最不可能破解的密碼就是一長串完全隨機的字母、數(shù)字、空格和符號，可真要這么設(shè)你就背不下來了。不過，既然長度這么很重要，你會發(fā)現(xiàn)一個驚人的事實：一長串無規(guī)則的英文單詞，且全用小寫——比方說“awoken wheels angling ostrich(吵醒的、輪胎、釣魚、鴕鳥)”就比已經(jīng)很短小、還遵循銀行那些煩人規(guī)定的密碼(像M@nch3st3r)要安全得多。而且這樣的密碼還更好記，因為你在記憶中已經(jīng)建立了一個畫面：有一群吵鬧的輪胎吵醒了一只在河邊釣魚的鴕鳥，不是嗎?正如熱門的宅向漫畫《XKCD》去年發(fā)布的一期漫畫就很清楚地指明了這一論點：“經(jīng)過了20年的努力，我們成功地讓每一個人練就一副‘密碼設(shè)得是人都記不下來、是電腦都猜得出來’的好功夫。”

　　而且其實事實比這更糟。因為密碼太難記了，于是人們發(fā)明了“密碼追回”，當中，安全問題就簡單得連黑客都答得出來。這就是為什么2008年莎拉·佩林【注2】的個人郵箱會被黑客黑掉：入侵者把她的郵政編號和高中校名全給猜對了。賬戶追回的另一相關(guān)缺陷還導(dǎo)致《Wired》雜志【注3】作者馬特·霍南(Mat Honan)在今年八月遭到了黑客的惡性襲擊。幾名黑客成功占用了他的谷歌賬號，并以他的名義在Twitter上發(fā)表了種族歧視的言論，并遠程清空了他手提電腦、手機以及iPad里的所有資料。后來其中一名黑客通過網(wǎng)絡(luò)留言給霍南，告訴他，這一切之所以會發(fā)生，是因為亞馬遜網(wǎng)站的客戶服務(wù)熱線很樂意提供了他信用卡賬號的后四位，而在蘋果的客戶服務(wù)臺，剛好就可以用這四位數(shù)重設(shè)他的蘋果iCloud賬戶密碼。

　　有一些網(wǎng)站會讓你使用密碼短語(passphrase)，就是剛才說的“釣魚鴕鳥”那種。可是大多網(wǎng)站都不會這么做。在這樣的情況下，很多安全專家都認為，人們應(yīng)該無視銀行的規(guī)定把密碼寫下來。他們的邏輯其實很簡單：因為你覺得記在紙上很不靠譜，你就會想個折中的辦法，最后你就選擇最不安全的密碼。(同樣的道理，有些人會建議、甚至要求你定期更改密碼，可其實你要記的密碼越多，就越會被逼著去選擇簡單一點的密碼。)“我有68個不同的密碼，”微軟安全專家杰斯珀·約翰遜(Jesper Johansson)幾年前在一次會議上說。“要是他們不準我寫下來，你猜我會怎么做?我肯定都會把所有賬號都設(shè)上同樣的密碼。”密碼專家布魯斯·施內(nèi)爾(Bruce Schneier)也同樣提倡人們把密碼寫下來。他指出，絕大多數(shù)人其實都能夠妥善保管幾張小紙片的安全。你的配偶或你的室友是否可信，這種安全問題你絕對有能力推測出來。可換做是俄國黑客集團是否會威脅到你的銀行賬戶，你就很難預(yù)測。

　　我把這類見解告訴尼爾·艾肯(Neil Aitken)，他是英國支付委員會的發(fā)言人(該委員會負責監(jiān)督跨行轉(zhuǎn)賬系統(tǒng)與連接網(wǎng)絡(luò)及其他事務(wù))。他聽了之后倒是顯得十分鎮(zhèn)定。他解釋說，問題的關(guān)鍵在于欺詐法強迫銀行客戶必須執(zhí)行一些義務(wù)。如果你只顧著保護自己的密碼，此時如果有人盜走你賬戶里的金額，法律就會認定你“犯下嚴重疏失”，這樣你的錢就很難再找回來。“你可以有一個世界上最難破譯的密碼，可如果你告訴了別人，那你就把這密碼給毀了。”借此委員會強烈建議英國客戶千萬別把密碼寫下或把密碼告訴給其他人。

　　兩方都各持己見。這就是安全問題的麻煩之處：你必須得權(quán)衡利弊。越方便意味著越不安全;對遠程攻擊防得越緊就讓狡猾的室友越有機會趁虛而入。你是愿意冒稍微大(雖然這很難量化)的危險在金錢上，還是讓自己處于長年的密碼攻擊之中?這種問題有夠復(fù)雜，就好像是在問你：“你最不喜歡的車子是什么?”

　　比爾·切斯維克(Bill Cheswick，朋友都稱他為切斯Ches)和很多人一樣，堅信我們這個社會正在淪入密碼的混沌之中。與其他人不同的是，他覺得自己得為此負一部分責任。1994年，作為AT&T的虛擬究部——貝爾實驗室(Bell Labs)的成員之一，他參與合作撰寫了一本書。書名耐人尋味：“防火墻與網(wǎng)絡(luò)安全：擊退狡猾的黑客”。(他曾提出“代理服務(wù)器”這一概念，這也因此成為他在互聯(lián)網(wǎng)圈子里被稱為“半人半神”的原因之一。)這本書為現(xiàn)代網(wǎng)絡(luò)安全奠定了基礎(chǔ)。可是現(xiàn)在，他說道，當我們大家在曼哈頓咖啡館見面上網(wǎng)的時候，密碼就成了“一根倒刺!誰能通曉那么多事情?”這個話題總能讓切斯維克活躍起來，雖然他平時就是個滔滔不絕熱情洋溢的家伙，可這次他還是會讓對桌的人們從自己的筆記本里抬起頭看他。“還有那么多規(guī)定!你還得混合符號啊，大小寫啊，數(shù)字啊……”

　　切斯把這些規(guī)定稱作是“蠑螈眼”，因為他們就像魔藥的配方一樣。偶爾在發(fā)表演講的時候他太得意忘形了，也會把這些規(guī)定稱作是“密碼界的法西斯”。“我有25個不同的賬號，難道我就要去記25個不同的‘蠑螈眼’密碼?這不科學啊!”

　　除此之外，他還提到，把精力都集中在密碼的復(fù)雜化，這也變得越來越無關(guān)緊要，因為現(xiàn)在更加嚴峻的威脅是鍵盤記錄器——一個秘密安裝在你電腦里的軟件，可以通過網(wǎng)絡(luò)監(jiān)視你所按下的鍵盤按鍵。“不管你的密碼設(shè)得有多高明，只要我在監(jiān)視著你的鍵盤，你就死定了，”他說道。如果想降低風險，你可以改用Mac，或?qū)⒉话踩腤indows XP系統(tǒng)升級為Windows 7，并裝上反病毒軟件。但真正最保險的方法是永遠不要訪問那些攜帶惡意軟件的網(wǎng)站。而且，“如果你的孫兒跑來玩你電腦，或者你讀初中的兒子輸入一個不安全的網(wǎng)址，那你就完了。”同樣危險的還有“網(wǎng)絡(luò)釣魚”攻擊，很多媒體都炒作過，就是把一封郵件或網(wǎng)址包裝得很和諧，比如把它偽裝成你銀行的登陸網(wǎng)頁，以此騙你輸入密碼。(反“釣魚”最基本的方法就是要檢查你瀏覽器的地址欄;將鼠標懸停在鏈接上，確保該鏈接的真實性;而且千萬別在郵件的回復(fù)中填入密碼發(fā)回去。)

　　也許有一天，我們不用在操心這些事情，也許以后會有革新發(fā)展能夠徹底將密碼代替。也許可以利用觸屏技術(shù)，借此檢測你與電腦互動間最細微的差別——你手指間的距離，你點擊與拖動觸屏時的速度。此外，新澤西羅格斯大學的技術(shù)人員已經(jīng)做出一個指環(huán)的樣本，你將它戴在手指上，它就會爆出微小的電流，通過用戶的皮膚發(fā)射到屏幕上，以確認用戶的身份。指紋識別系統(tǒng)已被嵌入在部分手提電腦中，但由于該技術(shù)仍存在太多問題，目前尚未得到重視，但它還是可以被改善的。可你別急著松口氣。在可預(yù)知的未來里，“密碼仍不會消失”，切斯維克說道。“盡管我很希望密碼能夠消失，可它們畢竟還是太方便了。”

　　與此同時，他還建議我做一件事，盡管為了完成這篇文章的我已經(jīng)被自己所做的研究給嚇傻了。他要我裝入一個被稱作是“密碼錢包”的軟件，比如 LastPass 或 1Password。這些軟件能將你所訪問的每一個網(wǎng)站生成一組高度隨機的密碼，并用一個主密碼將它們保存起來。我裝上了 LastPass 之后，通過它選了一個非常長的序列，包含英文單詞和數(shù)字。比方說現(xiàn)在我已經(jīng)完全不知道、以后也不會知道我的郵箱密碼是什么，但這不要緊，因為 LastPass 隨時都能把密碼告訴我。

　　這當然不是十全十美的解決方法。但 LastPass 幾乎在很多問題層面上都是安全的。因為它只在用戶自己的電腦上進行加密與解密，而軟件公司也不會知道我的主密碼，這就意味著要是我忘了主密碼，就沒人能幫得了我了。(也沒有需要設(shè)置安全問題的“密碼追回”。)而且——沒錯——我把它寫下來了，以加密的形式記在一張小紙片上，還很小心地把它藏了起來。希望我能很快把密碼記下來。畢竟沒有什么是絕對安全的，更別說絕對安全又絕對方便的方法更不可能存在，但我覺得這是個很折中可行的辦法。但愿我不會忘了自己把紙條藏在哪兒了。