2004年比爾·蓋茨公開(kāi)宣稱(chēng)說(shuō)這個(gè)世界將不再需要密碼；然而現(xiàn)在微軟研究院的一份報(bào)告卻表示，密碼或許永遠(yuǎn)不會(huì)消失，它有用著呢。

　　想一個(gè)單詞。一個(gè)密碼。它至少要有八個(gè)字節(jié)的長(zhǎng)度，但不超過(guò)12字節(jié)。任何字節(jié)都不能重復(fù)超過(guò)兩次。確保它至少包含一個(gè)字母，一個(gè)數(shù)字。事實(shí)上，它還必須以數(shù)字開(kāi)頭。你不能使用任何以前用過(guò)的用戶(hù)名或密碼。最后，在你的密碼中必須使用以下字符中的一個(gè)~！@#\$%^&*()_+={}[]|；：/？.，。

　　而且讓你能夠記住這個(gè)密碼。你無(wú)需把它寫(xiě)下來(lái)，但當(dāng)你之后再來(lái)到這個(gè)網(wǎng)站時(shí)你可能會(huì)用上它。

　　是不是感到很困惑？安全專(zhuān)家告訴我們說(shuō)我們的密碼要很難被猜出來(lái)，但有這么一小撮“別有用心”的網(wǎng)站卻迫使我們想出一個(gè)根本不可能猜得到（或記住）的密碼。

　　上述的要求來(lái)自于一家真實(shí)的網(wǎng)站。這個(gè)杰作出自于美國(guó)海關(guān)與邊境保護(hù)署的一群安全怪才們，針對(duì)的是那些想要在線申請(qǐng)?jiān)摍C(jī)構(gòu)“受信任旅客項(xiàng)目”的人，這樣可以使他們省去入境時(shí)排長(zhǎng)長(zhǎng)的隊(duì)伍的麻煩。

　　對(duì)于研究人員柯麥科·赫利（CormacHerley）和C·保羅·范奧斯浩特（PaulC.vanOoschot）來(lái)說(shuō)，計(jì)算機(jī)行業(yè)無(wú)休止地強(qiáng)迫我們加強(qiáng)我們的密碼是受到誤導(dǎo)的——比起它帶來(lái)的好處，要花費(fèi)的工作太多。“對(duì)用戶(hù)來(lái)說(shuō)，安全只是次要任務(wù)。而很多網(wǎng)站和供應(yīng)商卻以為用戶(hù)有閑工夫花在……額外的事情上。”渥太華卡爾頓大學(xué)計(jì)算機(jī)科學(xué)教授范奧斯浩特說(shuō)道。

　　在一份新的研究文章中，范奧斯浩特和一名微軟研究人員赫利表示，當(dāng)那些IT專(zhuān)家不停地提醒我們密碼安全時(shí)他們是在幫倒忙，原因是增強(qiáng)密碼的建議通常忽略了真正恐怖有效的攻擊。“用戶(hù)們天天聽(tīng)到關(guān)于選擇強(qiáng)密碼的建議，但他們了解到的關(guān)于網(wǎng)絡(luò)欺詐的建議就要少很多了。”他們?cè)谖恼轮腥绱藢?xiě)道，“對(duì)于那些用鍵盤(pán)登陸的用戶(hù)來(lái)說(shuō)，沒(méi)有什么比運(yùn)行反病毒軟件，打好軟件補(bǔ)丁更重要的了。”

　　簡(jiǎn)而言之，用戶(hù)喜歡的是簡(jiǎn)單的答案，而非那些他們“不得不聽(tīng)”的信息。

　　世界首次數(shù)據(jù)泄露？

　　密碼泄露問(wèn)題早在上世紀(jì)60年代就出現(xiàn)了。但首次有記錄的密碼泄露事件發(fā)生在1966年，問(wèn)題出在傳奇般的麻省理工學(xué)院的兼容分時(shí)系統(tǒng)（CTSS）上。CTSS是IBM公司生產(chǎn)的7094型主機(jī)，可以進(jìn)行一種新型的多用戶(hù)交互式編程。在CTSS造出來(lái)的那個(gè)年代，電腦運(yùn)行程序是整個(gè)運(yùn)行，并且即刻執(zhí)行每個(gè)步驟，但CTSS允許多位用戶(hù)同時(shí)登陸并編寫(xiě)程序。為了管理多個(gè)用戶(hù)，密碼就誕生了。

　　一天，一個(gè)軟件bug出現(xiàn)了：當(dāng)用戶(hù)登錄時(shí)本該顯示歡迎界面，但此時(shí)卻顯示出了整個(gè)密碼文檔。“任何登陸的用戶(hù)都會(huì)發(fā)現(xiàn)，原本應(yīng)該顯示每日信息的地方顯示的卻是整個(gè)用戶(hù)密碼文檔。”CTSS項(xiàng)目的領(lǐng)導(dǎo)人費(fèi)爾南多·J·卡波特（FernandoJ.Corbató）回憶25年前的這次事件時(shí)說(shuō)道，“這個(gè)情況持續(xù)了15到20分鐘，直到一名特別認(rèn)真的用戶(hù)將之報(bào)告給系統(tǒng)管理員。”

　　這之后每個(gè)人的密碼都必須重設(shè)。當(dāng)然了，這個(gè)故障發(fā)生在周五晚上五點(diǎn)，一個(gè)通常發(fā)生技術(shù)故障的時(shí)刻。

　　這次事件被1979年一份很有影響力的關(guān)于密碼安全的論文所引用，作者為Unix重量級(jí)人物羅伯特·莫里斯（RobertMorris）和肯·湯姆遜（KenThompson）。在這篇論文中，他們將這次事件稱(chēng)為“關(guān)鍵詞搜索”攻擊——攻擊者不斷地嘗試不同的密碼，直至有一個(gè)成功。現(xiàn)在我們把這種攻擊叫做“暴力破解”攻擊，特別是在現(xiàn)代強(qiáng)大的微處理器的幫助下，這種做法行之有效。一臺(tái)現(xiàn)代的電腦能很輕松的生成數(shù)以?xún)|計(jì)的密碼組合并不斷嘗試，直到碰到一個(gè)正確的。而這種攻擊正是你那種冗長(zhǎng)、復(fù)雜、難以記憶的密碼所要面對(duì)的挑戰(zhàn)。

　　但對(duì)于網(wǎng)站來(lái)說(shuō)，還有更簡(jiǎn)單的方法。攻擊者可以生成一個(gè)相似的頁(yè)面，或者迫使用戶(hù)在一系列失敗的登陸后等上幾分鐘。這種登陸破解方法比暴力破解更能有效地對(duì)付網(wǎng)頁(yè)的登陸頁(yè)面。

　　這種方法看起來(lái)很有效。對(duì)于那些訪問(wèn)量極大的網(wǎng)站——包括那些被詐騙犯一直盯住的網(wǎng)站——允許你為你的賬戶(hù)設(shè)置十分簡(jiǎn)單的密碼。比如你可以在Amazon.com創(chuàng)建一個(gè)密碼為“aaaaaa”的賬戶(hù)。這個(gè)密碼用暴力破解法幾秒鐘就能被猜到，但亞馬遜就是允許你使用它。

　　在另一份論文中，赫利總結(jié)說(shuō)許多世界上規(guī)模最大、訪問(wèn)量最多的網(wǎng)站使用弱密碼政策并沒(méi)有什么太大問(wèn)題，而一些隱秘的政府和大學(xué)網(wǎng)站卻要求嚴(yán)格。為什么？因?yàn)檎痛髮W(xué)網(wǎng)站并不是很在乎網(wǎng)站有多么難用。“當(dāng)不存在支持易用性的聲音或它比較弱時(shí)，安全政策就會(huì)變得不必要的嚴(yán)格起來(lái)。”赫利和另一位微軟研究員丹尼爾·弗洛蘭溪（DineiFlorencio）寫(xiě)道。

　　似乎每個(gè)人都認(rèn)為使用強(qiáng)密碼是個(gè)好主意，但越來(lái)越多的電腦專(zhuān)家表示強(qiáng)密碼不再像湯姆孫和莫里斯寫(xiě)出那份開(kāi)創(chuàng)性的論文時(shí)這么重要了。有些專(zhuān)家甚至表示在一些場(chǎng)合使用弱密碼完全沒(méi)有問(wèn)題。你當(dāng)然希望為你的在線銀行設(shè)置一個(gè)特別而又極端強(qiáng)的密碼，但當(dāng)你登陸美國(guó)廣播公司的Kids欄目時(shí)你也想用這種密碼嗎？為何不嘗試用一個(gè)不太會(huì)被猜到的字母組合呢？

　　“這不是因?yàn)槿藗儸F(xiàn)在不再破解密碼，而是因?yàn)檎嬲娜觞c(diǎn)不在于此。”哥倫比亞工程學(xué)校計(jì)算機(jī)科學(xué)教授斯蒂芬·巴洛芬（StevenBellovin）說(shuō)道。他表示如果你擔(dān)心你的密碼被猜出來(lái)，還不如擔(dān)心你被網(wǎng)絡(luò)釣魚(yú)或者鍵盤(pán)操作被記錄呢。

　　如果一個(gè)罪犯打算闖入一家公司竊取數(shù)據(jù)的話，吊詭的是他會(huì)使用默認(rèn)密碼——對(duì)于遠(yuǎn)程控制的現(xiàn)金出納機(jī)系統(tǒng)來(lái)說(shuō)這是個(gè)大問(wèn)題——或是使用鍵盤(pán)記錄軟件偷來(lái)的密碼，VerizonBusiness調(diào)查反應(yīng)主任布萊恩·薩丁（BryanSartin）說(shuō)道。“在我們所看到的所有的被猜出的密碼中——尤其是那些破解初始階段的密碼——大多數(shù)實(shí)際上根本用不著破解。”他說(shuō)道，“很多密碼我們?cè)缇椭懒恕?rdquo;

　　密碼的重復(fù)使用對(duì)于使用者來(lái)說(shuō)是一大隱患。網(wǎng)站可以屏蔽連續(xù)不斷的登錄請(qǐng)求，但要是它本身就被攻破了呢？“如果一個(gè)網(wǎng)站被攻破了，并且保存的密碼被暴力破解，而一些密碼又被用在別處，那你就遇上大麻煩了。”一家總部位于米蘭的安全咨詢(xún)公司“安全網(wǎng)絡(luò)”的主席斯蒂法諾·贊讓諾（StefanoZanero）說(shuō)道。

　　僵尸密碼

　　赫利和范奧斯浩特辯稱(chēng)這個(gè)問(wèn)題的一大原因是因?yàn)殡娔X行業(yè)在大約10年前徹底放棄了密碼，以至于沒(méi)有足夠多的嚴(yán)謹(jǐn)?shù)难芯縼?lái)完善它們并了解密碼在真實(shí)世界中是如何被猜破的。

　　要怪就怪比爾·蓋茨去。

　　八年前，比爾·蓋茨語(yǔ)言電腦密碼很快將從這個(gè)世界消失。他說(shuō)密碼是電腦安全的一個(gè)薄弱環(huán)節(jié)，還說(shuō)“毫無(wú)疑問(wèn)隨著時(shí)間的推移，人們將越來(lái)越少使用密碼。”

　　蓋茨的想法是我們將使用智能卡片或RSA安全I(xiàn)D認(rèn)證兩種方式來(lái)安全登錄，不管我們走到哪里。這也是所謂的“雙重認(rèn)證”。你使用一個(gè)你記住的東西（你的密碼），然后為了更加安全，再使用另一樣?xùn)|西——你手邊的東西（比如一張智能卡片或者RSA令牌）。

　　在專(zhuān)業(yè)雜志中，蓋茨的預(yù)言被報(bào)道為替密碼敲響了喪鐘。然而八年過(guò)去了，在這段時(shí)間里，F(xiàn)acebook，Twitter和維基百科增加了數(shù)以萬(wàn)計(jì)的用戶(hù)——所有的用戶(hù)都使用平常的密碼登陸——沒(méi)有一個(gè)人使用智能卡片或者RSA令牌登陸。即使是微軟自家強(qiáng)烈推薦的Cardspace便捷認(rèn)證軟件也一直是個(gè)浮云。

　　微軟研究院：密碼并未消亡，相反它越來(lái)越發(fā)展壯大。我們?yōu)楫?dāng)?shù)匦侣劸W(wǎng)站設(shè)置了密碼，為在線看電影設(shè)了密碼，我們的e-mail和社交網(wǎng)絡(luò)也有了密碼。

　　密碼使得許多網(wǎng)站有了一種便捷而又相對(duì)可靠的用戶(hù)登錄方式，但是電腦行業(yè)對(duì)此須持謹(jǐn)慎態(tài)度。赫利和范奧斯浩特如是寫(xiě)道“像密碼即將消亡這種不成熟的結(jié)論已經(jīng)導(dǎo)致了許多關(guān)鍵的研究問(wèn)題被忽視。”

　　他們認(rèn)為我們需要多多研究何處使用密碼是合理的，如何讓它更加易用，并且還要了解密碼被破解到底造成了多大的經(jīng)濟(jì)損失。對(duì)于這些密碼的用戶(hù)來(lái)說(shuō)，損失又是多大呢？在另一份論文中，赫利估計(jì)每年對(duì)于復(fù)雜密碼研究的耗時(shí)將導(dǎo)致美國(guó)商業(yè)界數(shù)十億美元的產(chǎn)能損失。

　　這個(gè)問(wèn)題在電腦安全界是一個(gè)爭(zhēng)議性的話題。在經(jīng)歷了20年不斷強(qiáng)調(diào)復(fù)雜密碼的重要性后，誰(shuí)會(huì)想去承認(rèn)說(shuō)這完全是牛皮吹太大了呢？

　　微軟不允許赫利接受此次采訪，但沒(méi)有給出原因。

　　但赫利和那些有同樣想法的人正在獲得越來(lái)越多的支持。“他的立場(chǎng)讓一些人難堪，因?yàn)樗趯?duì)抗傳統(tǒng)的觀念，但總的來(lái)說(shuō)我認(rèn)為他是正確的。”巴洛芬說(shuō)道。