真的是这样吗?(图片来源:DavidMalan/Getty)
Paul Marks
计算机密码破译学先驱Alan Turing生前效力的英国政府通讯总部(GCHQ,UK’s GovernmentCommunications Headquarters)最近发布了一则消息称,密码安全方面存在已久的解决方法已经失去了成效。
在EdwardSnowden揭露美国国家安全局(NSA , US National Security Agency)收集大量个人资料事件中,英国政府通讯总部扮演了共同窃取信息的角色。怀疑论者可能倾向于有保留地接受这则消息的引导。但是我们应该放他们一马,因为英国政府通讯总部最新发布的这则消息很有说服力。
到目前为止,官方所给出的建议是:在我们登录的每一个网站设置一个安全性强的密码,不同的网站设置不同的密码,并定期更换它。安全性强往往意味着密码不要包含字典中的完整单词,而应该包含字母表以外的字符,例如£、 $ 和 *。因为字典中的单词很容易被简单的计算机攻击破解。
但是这则报道给出的新建议是:不要设置多个密码,不然记起来很麻烦。那样做带来的问题就是,最终我们会陷入一个循环:一遍又一遍地点击“忘记密码”去重新设置密码。这则报道仅鼓励大家去重复使用密码,全面地降低安全问题。
密码设置:少即是多
英国政府通讯总部上周在伦敦正式启动了国家网络安全中心(NCSC,National Cyber Security Centre),其目的是支持公共数据安全。安全中心的CEO Ciaran Martin发布了一些令人惊喜的研究,从而颠覆了以前所给的建议。
工作人员曾指出,过去的密码保护建议很繁琐,相当于要求每个英国公民每个月记住一串新的600位数字。Martin说:“就连我最优秀的员工也做不到,所以我们不应该让其他人去做这样的事。”
取而代之的是,国家网络安全中心现在建议人们使用一种基于软件的密码管理器,它可以免去记忆大量密码的麻烦。使用一个安全性强的密码去登陆管理器,然后它会处理网站的登陆,当需要时自动地将访问细节粘贴到输入框中。
将密码粘贴到密码输入框中(比如说从一个Word文档中的表格里)在安全界已经是一个颇有争议的问题了。有些网站以安全性为理由,自动防粘贴。但国家网络安全中心称,那些理由没有说服力。尽管如此,这些理由已经成了大家公认的规则。而且,那些防密码粘贴的网站,也防密码管理器的介入,而国家网络安全中心希望这种现象不复存在。
被埋藏的宝藏-密码管理器
已经有人提出了这样的担忧:网页浏览器的“自动填充”特性本来是为了方便填充,但是现在却有可能使黑客们在很短的时间内获取到以这种方式存储在密码管理器的所有密码。管理器的制作者们也在开始使用更安全可靠的自动填充策略。
英国政府通讯总部和英国国家网络安全中心方针的改变与一个美国网络安全公司Cybersecurity Ventures的市场调查不谋而合。他们都揭示了密码问题的严重性:现如今,有900亿的密码正在被使用,现如今,有900亿的密码正在被使用,算上冰箱、照明、热力系统和烤面包机这些设备的密码,在2020年使用的密码有可能达到3000亿。
尽管像人脸识别这样的生物识别技术会取代一部分密码,但是,密码管理器还是科技生态系统中无价的备忘录。
也许甚至连英国政府通讯总部的灵感来源—Turing本人,在某些时刻也需要备忘录。在纳粹入侵的威胁下,Turing买了两锭银子并埋在Bletchley的乡下,战争结束之时,他忘记了他的宝藏埋在了哪里,再也没有找到宝藏。
翻译:贾文铎
审校:王舟
京公网安备11010502039775号
