D-Horse

美國國家安全局（NSA）為了破譯恐怖組織的密碼以挫敗其陰謀，擬斥巨資建造一臺可以破解一切密碼的機(jī)器：萬能解密機(jī). 這是美國作家丹·布朗在其小說《數(shù)字城堡》中虛構(gòu)的情節(jié). 以人類今日之科技實(shí)力，打造這樣一臺無堅(jiān)不摧的“神器”還只是個遙遠(yuǎn)的夢想，但如何在網(wǎng)絡(luò)社會中保護(hù)自己的個人隱私一直是一個現(xiàn)實(shí)的問題. 20多年來，現(xiàn)代人已經(jīng)掌握了“數(shù)字城堡”——密碼的構(gòu)造方法，自認(rèn)為可以高枕無憂，但事實(shí)遠(yuǎn)非如此.

越復(fù)雜的密碼越安全嗎

很不幸，答案是否定的. 人們通常認(rèn)為，把密碼設(shè)得越復(fù)雜，別人就越難猜到，但這樣一來無疑增加了記憶的難度. 而對于那些企圖窺探你秘密的人來說，他們也只是想不到，而非“猜不到”. 現(xiàn)如今，還有幾個人破譯密碼是靠大腦“猜”的呢？這就正如一名科學(xué)愛好者所說的那樣：經(jīng)過二十年的努力，我們成功地陷入一個誤區(qū)，那就是把密碼設(shè)得越來越難以記憶，然而卻被計(jì)算機(jī)很輕松地破解出來了.

保證密碼強(qiáng)度的關(guān)鍵是什么

保證密碼強(qiáng)度的關(guān)鍵到底是什么呢？其實(shí)，我們可以毫不懷疑地說：密碼長度.

這里引入信息學(xué)中的信息熵（我們常聽人說這個信息多、那個信息少，對信息“多少”的量化就是信息熵），用它來作為密碼強(qiáng)度的評估標(biāo)準(zhǔn). 信息熵的計(jì)算公式為H=L·log2N，其中L表示密碼的長度，N的取值見下表.

在公式和表中，我們可以看到，密碼強(qiáng)度（H）與密碼長度（L）和密碼包含字符的種類（N）這兩個因素有關(guān). 然而它們對密碼強(qiáng)度的影響是呈指數(shù)倍的關(guān)系. 舉個例子，假設(shè)密碼長度的單位為比特，8個比特即為一個字節(jié)（即輸入密碼時(shí)的一個字符，一個字節(jié)可以代表256個不同字符），如果某臺超級計(jì)算機(jī)的計(jì)算能力為每秒能完成256次組合運(yùn)算，破解8個字符組成的密碼僅需4分16秒. 當(dāng)密碼長度達(dá)到16個字符的時(shí)候，暴力破解它需要149 745 258 842 898年！要知道太陽的壽命也只有約10 000 000 000年，而目前世界上速度最快的計(jì)算機(jī)KComputer也只能每秒完成約253次運(yùn)算. 當(dāng)然，這是一個極端化的例子. 事實(shí)上，可以用來當(dāng)密碼使用的字符僅有95個而已（26個小寫字母，26個大寫字母，10個數(shù)字以及33個標(biāo)點(diǎn)符號）.

更大的風(fēng)險(xiǎn)所在：萬能鑰匙

在現(xiàn)實(shí)生活中，我們都選擇“一把鑰匙開一扇門”. 誰都不會希望有一把鑰匙既能用來開家門，又能用來開車門、公司的門、宿舍的門，因?yàn)檫@把“萬能鑰匙”一旦丟失，損失將是慘重的. 隨著網(wǎng)絡(luò)社會的發(fā)展，如今大多數(shù)人都握有十多個網(wǎng)站的賬號，你是繼續(xù)選擇“一把鑰匙開一扇門”的策略，還是改用“萬能鑰匙”的策略呢？如果是前者，那么無疑將增加你的記憶負(fù)荷;如果是后者，安全隱患是顯而易見的.

其實(shí)，許多人都意識到了這一點(diǎn)，并且為了避免這種情況，相當(dāng)一部分人選擇將密碼分為兩部分，一個主要部分（比如是123456），另一部分則根據(jù)賬戶而定：QQ的密碼就設(shè)為qq123456，而gmail的密碼則是gmail123456等等. 但如此直白的設(shè)置，頗有掩耳盜鈴的味道，一旦一個賬戶失竊，看穿這個規(guī)律，也不過是一秒鐘的事情而已.

與黑客的博弈

為了規(guī)避上述種種風(fēng)險(xiǎn)，大家開始設(shè)定許多個又長又復(fù)雜的密碼. 但復(fù)雜的長密碼并不容易記住，更何況是要記住好幾個這樣的密碼（請問有誰沒有忘記過密碼呢）. 在經(jīng)歷了多次遺忘密碼的痛苦之后，人們又開始傾向性地選擇那些容易讓自己記住的信息作為自己的密碼，比如自己或親人的姓名、生日、電話號碼等等. 但這恰恰把安全隱患留給了那些躲在暗處的黑客.

有人對用戶的密碼做過統(tǒng)計(jì)，研究他們設(shè)置密碼時(shí)的偏好，并將統(tǒng)計(jì)結(jié)果繪制成圖. 61%的用戶喜歡使用人名、地名、字典詞匯和純數(shù)字來設(shè)置他們的密碼，甚至還有2.6%的用戶直接把他們的用戶名當(dāng)做密碼使用（比如把guokr123@...的密碼直接設(shè)置為guokr123）. 這些都是具有安全隱患的密碼設(shè)置策略！黑客們了解用戶的密碼設(shè)置習(xí)慣后，就可以編寫“密碼詞典”，有了這本詞典后，就可以在暴力破解的時(shí)候大大提高精準(zhǔn)性. 一個叫做1PASSWORD的網(wǎng)站給出了新的策略. 它相當(dāng)于為你提供了一個帶鎖的記事本，可以讓你把所有的密碼記在這個記事本上，你只需要保留開鎖的鑰匙（密碼）即可. 撇開這個網(wǎng)站的靠譜程度不談，單單為了這樣一個記事本，你就要付出40美元的代價(jià). 同時(shí)請別忘了，它僅僅為你解決了記憶密碼的問題，還是沒有逃開設(shè)置密碼這個更加頭疼的問題.

優(yōu)秀的密碼設(shè)置策略

如何設(shè)定一個靠譜的密碼？

互聯(lián)網(wǎng)上的一個網(wǎng)站中有一篇文章提出了一些密碼設(shè)置上的參考建議，里面提到“用統(tǒng)一規(guī)則記住多個不同密碼”是一個不錯的選擇. 畢竟記住一個規(guī)則比記住一串雜亂無序的字符要容易多了，也可以實(shí)現(xiàn)“一把鑰匙開一扇門”的策略. 在這里不妨舉個例子，給出一個簡單的密碼設(shè)置規(guī)則（以電子郵箱為例）：

密碼=2*（[用戶名標(biāo)識符（小寫/大寫）]+[用戶名長度]+[.]+[網(wǎng)站標(biāo)識符（大寫/小寫）]），比如說guokr123@gmail.com的密碼可以為gk8.GMGK8.gm，而songshuhui@hotmail.com的密碼可以為ssh10.HTSSH10.ht.

但是，這就真的安全了嗎？下面的這幅畫真實(shí)地反映了如此一個情境.

正如這幅畫中展現(xiàn)的——還請讀者記住的就是，一個優(yōu)秀的密碼可以盡可能地降低風(fēng)險(xiǎn)，但它并不能將風(fēng)險(xiǎn)降為零. ■endprint