美國《華爾街日報》網(wǎng)絡(luò)版今天刊登題為《盡管數(shù)據(jù)大盜盛行 但密碼仍有生命力》(Despite Data Thefts, the Password Endures)的評論文章稱，雖然密碼技術(shù)存在種種弊端，而且引發(fā)了諸多數(shù)據(jù)泄密事件，但由于其成本低廉、使用簡單的特點(diǎn)，還是獲得了普通大眾的青睞。更何況，對于已經(jīng)習(xí)慣了密碼的用戶來說，要轉(zhuǎn)用全新的技術(shù)并非易事。

以下為文章全文：

密碼噩夢

二十世紀(jì)六十年代初，當(dāng)費(fèi)爾南多·卡巴托(Fernando Corbató)在麻省理工學(xué)院創(chuàng)造出第一個電腦密碼時，他完全沒有想到，一個潘多拉魔盒就此打開。

“這就像一場噩夢。”這位87歲高齡的退休研究員說，“我認(rèn)為沒有人能記住所有的密碼。”

密碼是不僅為電腦和智能手機(jī)用戶埋下了禍根，還給各大企業(yè)帶來了安全隱患。本周三，eBay呼吁該公司的1.45億用戶更改密碼，原因是該公司發(fā)生了數(shù)據(jù)泄露事件。但從以往的經(jīng)驗(yàn)來看，恐怕沒有多少人會留意到這種警告。

上月有專家披露了名為“心臟流血”的網(wǎng)絡(luò)加密漏洞，成為了互聯(lián)網(wǎng)發(fā)展史上最嚴(yán)重的漏洞之一。該漏洞可能會將數(shù)十億密碼暴露給黑客，但美國皮尤研究中心的調(diào)查發(fā)現(xiàn)，只有39%的成年網(wǎng)民在該漏洞曝光后取消了賬號或更改了密碼。

“密碼太可怕了，應(yīng)該將它‘槍斃’。”杰里米格蘭特說，他所領(lǐng)導(dǎo)的美國國家網(wǎng)絡(luò)空間可信身份戰(zhàn)略項(xiàng)目(National Strategy for Trusted Identities in Cyberspace)是2011年由奧巴馬總統(tǒng)創(chuàng)立的，目的是加強(qiáng)網(wǎng)絡(luò)安全性。

廣泛滲透

盡管存在種種不足，但密碼早已滲透到人們生活的方方面面。它成本低廉、應(yīng)用廣泛、易于使用，而它的替代方式至今沒有取得太大的進(jìn)展。

“這是唯一一項(xiàng)從50年前沿用至今的技術(shù)。”eBay旗下PayPal業(yè)務(wù)高級網(wǎng)絡(luò)安全顧問布雷特·麥克道威爾(Brett McDowell)說。

有人希望用指紋識別器、虹膜掃描器和USB密鑰取代密碼，一系列的失望令企業(yè)高管、科學(xué)家和政府官員開始懷疑這種計(jì)劃的前景。麥克道威爾和美國銀行、谷歌及其他企業(yè)的管理人員都在合作推動一個名為Fido Alliance的密碼替代項(xiàng)目。

該項(xiàng)目最近發(fā)布了一套可以用于其他在線身份認(rèn)證形式的早期標(biāo)準(zhǔn)。PayPal正在使用該標(biāo)準(zhǔn)，而谷歌的內(nèi)部測試也獲得了不錯的效果。

蘋果公司的最新一代iPhone就使用了指紋解鎖功能，但有用戶認(rèn)為，輸入密碼跟把拇指放在讀卡器上解鎖手機(jī)的方式一樣方便。

沒人知道世界上究竟有多少密碼，部分原因在于它們滲透得太快，根本無法追蹤。智能手機(jī)、平板電腦和其他移動設(shè)備的使用量大增令情況進(jìn)一步惡化。社交網(wǎng)絡(luò)和電子商務(wù)網(wǎng)站通常也都需要用戶使用密碼登錄，從而為其提供個性化的內(nèi)容和廣告。#p#

數(shù)據(jù)泄漏

盡管數(shù)據(jù)泄密和安全警告不絕于耳，但人們還是堅(jiān)持使用易于記憶的密碼，而且經(jīng)常在不同賬號中使用相同密碼。

“世界上最常用的密碼就好比世界上最常用的寶寶名字。”密碼管理公司SplashData CEO摩根·斯雷恩(Morgan Slain)說，該公司每年都會發(fā)布一份年度“最差密碼”榜單，幾乎每年的榜單都不會有太大變動，包含了“123456”、“password”和“qwerty”等最常用的密碼。

49歲的杰夫·邁爾斯(Jeff Mayers)想出了自己的辦法。這位前心臟外科醫(yī)生目前在Gilead Sciences公司從事藥物試驗(yàn)，他表示，自己每個月都會在現(xiàn)有密碼后面增加一個數(shù)字。

“任何人只要有一點(diǎn)黑客技巧，都能立刻破解出來。”他說。

替代方案

谷歌和Twitter等企業(yè)都在通過兩步認(rèn)證模式來應(yīng)對黑客攻擊。在用戶輸入密碼后，還要再輸入一個通過手機(jī)短信接收的認(rèn)證碼才能進(jìn)入賬號。

這種模式較之于單純的密碼更加安全，但如果手機(jī)丟失，仍會造成困擾，而且會放慢進(jìn)入賬號的速度。

“所有這些都會制造額外的阻力。”EMC旗下數(shù)據(jù)安全部門RTSA前高管尤里·里弗納(Uri Rivner)說。他最近參與創(chuàng)辦了一家名為BioCatch的公司，可以幫助各大網(wǎng)站通過用戶手持智能手機(jī)或在屏幕上拖拽鼠標(biāo)的方式認(rèn)證其身份。他補(bǔ)充說，一些主要的美國銀行已經(jīng)開始使用這項(xiàng)技術(shù)，但他拒絕披露這些銀行的身份。

即使是最聰明的密碼，其安全程度也會受到負(fù)責(zé)存儲它的公司的限制。黑客可以借助“心臟流血”漏洞竊取企業(yè)服務(wù)器上受保護(hù)的數(shù)據(jù)。

塔吉特公司表示，黑客去年利用從制冷承包商那里竊取的密碼入侵了信用卡和借記卡系統(tǒng)，從而盜取了4000萬張卡片號碼。

目前還不清楚有多少人可能成為這兩起入侵事件的受害人。自此事發(fā)生以來，塔吉特已經(jīng)采取了很多措施將有價值的數(shù)據(jù)與其網(wǎng)絡(luò)的其他部分隔離開來。在“心臟流血”漏洞今年4月曝光以來，已經(jīng)有數(shù)十家網(wǎng)站呼吁用戶更改密碼。#p#

阻力猶存

PayPal允許用戶在最新的三星Galaxy S5智能手機(jī)上使用傳感器完成購物。蘋果CEO蒂姆·庫克(Tim Cook)也曾表示，在為最新一代iPhone添加指紋識別芯片時，該公司的高管就曾考慮移動支付功能。

蘋果的系統(tǒng)目前只能兼容iTunes等該公司自己的產(chǎn)品。PayPal用戶卻可以在任何部署Fido標(biāo)準(zhǔn)的網(wǎng)站上使用相同的指紋。當(dāng)然，當(dāng)Galaxy S和iPhone 5s的指紋失效時，用戶仍然需要輸入密碼。

美國加州大學(xué)伯克利分校博士生斯圖爾特·蓋格(Stuart Geiger)專門研究人與技術(shù)的互動方式，他表示，要徹底拋棄密碼，需要硅谷各大企業(yè)的通力配合，這幾乎涉及從網(wǎng)絡(luò)購物到視頻聊天的各個領(lǐng)域。

即使真的開發(fā)出了能夠徹底取代密碼的技術(shù)，數(shù)以億計(jì)早已習(xí)慣了密碼的美國網(wǎng)民是否真的愿意為了提高安全性而改變設(shè)備使用方式?“慣性是個重要問題。”他說。

當(dāng)今的種種亂象早已超過了麻省理工學(xué)院教授名譽(yù)退休教授卡巴托當(dāng)初的想象，他和他的同事當(dāng)年之所以開發(fā)密碼，只是為了在共用的電腦上控制文件訪問權(quán)限。

“我們當(dāng)初也沒有預(yù)見到互聯(lián)網(wǎng)的誕生。”他說。為了記住自己的各種密碼，卡巴托會把它們都寫在紙上。而現(xiàn)在，他則將這些內(nèi)容都存儲到在線文件中。