"123456"是最常用密码 为什么烂密码无处不在?
近日,全国政协委员、中科院院士潘建伟透露,全球首颗量子通信科学实验卫星有望在7月发射,中国还将打造卫星网,当这张纵横寰宇的量子通信之“网”织就,海量信息将在其中来去如影,并且“无条件”安全。在量子通信技术成熟之后,类似于“棱镜门”之类的窃听行为将很难重演。这个消息一经发出,就获得了大众的关注与讨论,一个基础科学领域的技术能够获得如此广泛的群众响应,实在是因为它其实与我们每个人的密码安全息息相关。只是要理解什么是真正的量子通信却不是件容易的事,而在量子通信得到应用之前,设置出一大堆你能记得住的超复杂密码则更难。
两个粒子相爱相杀
对于公众最好奇的问题:什么是量子?潘建伟院士拿好莱坞电影《蚁人》举例:电影中,主角斯科特为了拯救世界,把自己无限缩小,最后进入的就是“量子世界”。它是微观世界里一个不可分割的基本个体。比如光,就是由大量光量子组成的。
而听着怪,看不懂的量子科学又是怎么回事呢?作为研究微观世界的科学领域,量子理论中著名的“薛定谔的猫”这样描述量子力学:盒子里有只猫,在日常生活中它要么处于活的状态,要么处于死的状态;但在微观量子世界里,这只猫会同时处于生和死两个状态的叠加。
好吧,说实话,这个表述也很怪异。
那么我们来看看网友是怎么样通俗地解释这个令人摸不着头脑的科学概念的。在量子力学里,两个粒子在经过短暂时间彼此耦合后,单独搅扰其中任意一个粒子,会不可避免地影响到另外一个粒子的性质,就算他们远隔千山万水也能相爱相杀。这就是所谓的量子纠缠,像不像传说中的心电感应?
在今年两会期间,潘建伟说,在不久的将来,量子通信就能进入千家万户。希望通过十年左右的努力,将来每个人在互联网上进行的转款、支付等消费行为,都能够享受到量子通信的安全保障。
而量子通信之所以有超高的安全性,是由于作为信息载体的单光子不可分割、量子状态不可克隆,可以实现抵御任何窃听的密钥分发,进而能保证用其加密的内容不可破译。
网友的通俗理解是这样的,假设A发给B一个量子态,对于A是已知的,对于B是未知的。E想来窃听,于是直接拦截了这个态,想通过测量知道这是什么,可是E只要一测量,A发送的原始态就变化了,B收到之后再问问A你发的是什么啊,B一测量,态变化了,这就是窃听的发现。
当然,实际上保证安全性的过程要复杂得多。
“123456”是最常用密码
可是在量子通信得到实际应用之前,我们如何设置密码才安全?这是个令人头疼的问题。
我们都曾在媒体上看到这样的新闻,有人竟然将密码写在存折背面,因此损失惨重。我们在嘲笑这些人愚蠢的同时,也接受了密码守则第一条:绝对不能把密码写下来。
可是我们真的能做到吗?如果我们不把密码写下来,这势必引出另一个问题,我们的密码设计会趋向简单和重复,被盗取的风险又会大大增加。因为我们有很好的自知之明,我们的脑子没有能力记忆各种不同的复杂密码。我们会选择自己的名字,孩子的名字,自家狗狗的名字,职业甚至街道的名字来注册网站;最近几年,我们还会被逼着设一个字母混合大小写的密码,可有哪一个正常人能记得起如此多重组合的排列呢?至少我做不到。
当然也不必为自己设的密码太烂而羞愧,烂密码到处都是。国外曾有个关于密码泄露事件的分析报告,结果显示,大概有十分之一的人会选择“1234”做密码;而雅虎网安全漏洞事件也让我们发现,有上千名用户设置的密码要么是“password(密码)”“welcome(欢迎)”要么就是“123456”。
“信息周刊”下“BYTE”曾刊登过一篇文章叫《密码管理前五名》,该文配了一幅人们常用密码的文字云图像,图像上的字体越大,显示使用的频率越高。于是我们看到,“123456”以最大的字号显现出来了。
人们总是会设一些烂到不行的密码,甚至拿它去保护一些比自己的存款还重要的东西。军事安全专家们大都知道,在冷战高峰时期,美国核弹的“解锁密码”竟然是00000000。《新闻之夜》曾揭露:1997年以前,英国部分核弹的钥匙锁,其本质就是一个自行车的车锁。至于怎么选择让弹头在空中还是地面爆炸,只要用宜家的内六角扳手就可以搞定。而这些根本就不是密码。遇到敌方攻击的时候,快速反击比其他什么都重要。
与设置出了烂密码相比,还有更糟的,那就是“密码追回”。安全问题简单得连黑客都答得出来。这就是为什么2008年美国政界人士莎拉·佩林的个人邮箱会被黑客黑掉:入侵者把她的邮政编号和高中校名全猜对了。
当然,我也曾经设置过高中学校等这些客观问题,后来觉得不安全,改成了“你儿时心目中的大英雄是谁?”结果当我忘记了密码,想要追回的时候,才发现我怎么样也无法回答正确,我以为是孙悟空,可是却无法通过验证。难道是圣斗士?
到底要不要把密码写下来?
我们的密码时刻处在危险之中,因此有些老板会命令员工90天更换一次密码,一些银行的密码设置规范上也规定:密码不能超过12个字符,不允许使用空格键,等等。密码——作为保护人们在互联网上的私人资料的途径,最后却违背了人的天性。所以,反例是把密码记下来可能才是一个好主意。
“我有68个不同的密码,”微软安全专家杰斯珀·约翰逊(Jesper Johansson)几年前在一次会议上说。“要是他们不准我写下来,你猜我会怎么做?我肯定会把所有账号都设上同样的密码。”密码专家布鲁斯·施内尔(Bruce Schneier)也同样提倡人们把密码写下来。当然前提是你不会忘记小纸片藏在哪儿了。
你的配偶或你的室友是否可信,这种安全问题你绝对有能力推测出来。可换做是黑客集团是否会威胁到你的银行账户,你就很难预测。
然而也有人反对这一做法,在英国,欺诈法强迫银行客户必须执行一些义务。如果你只顾着保护自己的密码,此时如果有人盗走你账户里的金额,法律就会认定你“犯下严重疏失”,这样你的钱就很难再找回来。因此英国支付委员会曾强烈建议英国客户千万别把密码写下或把密码告诉其他人。
双方各持己见,也就是密码的麻烦之处:越方便就越不安全,太复杂,你又记不住。
本报记者刘晓宁