唐 磊 文 晔
密码,成为普通民众守护个人隐私的主要手段
也许很少人注意到,不知从什么时候开始,我们的生活已被各种密码所包围。
在一家保险公司做财务的姚焰的经历,基本上是现代都市人密码生活的一个缩影。每个月辛苦挣来的薪水,放进一张半个巴掌大的卡片。密码,是打开自己小金库的“钥匙”;姚焰为自己的电脑加了密码,这道密码像把锁,封住了她的个人世界,这时的密码就是隐私;姚焰是做财务的,每天都要多次凭借密码进入自己的工作平台,这个密码守的是她的饭碗和公司秘密。
上网收发邮件、聊天、购物……都要注册用户,每个用户都代表着一个“姚焰”,每个用户名都需要一个密码。密码成了一张姚焰在网络中与外界接触的通行证。
现实生活中,要查询自己手机费用,要输入密码;小区的门禁,是密码的……“教知道真实的自己是惟一的,可密码太多了,多得让我在很多地方被密码代替。没有密码,很多时候我就不是我自己了。”姚焰说。
从银行开始的个人密码生活
仅仅20年前,人们完全无法想象到会陷入这样的“密码生活”中。1984年以前,我国民间密码研究几乎为空白,更别说密码在民间的应用了。密码研究与使用几乎被军队及机要部门垄断。直到80年代中期,民用密码研究才开展起来。
银行,最早地将密码运用到普通人中。
在存折加密之前,一般人去银行取钱,只要数额在5万元以下的活期存款,仅凭存折就能拿到钱,无需其他手续;定期存款到期后,取款时也是如此。而数额在5万元以上的支取,才要存款人提供身份证原件。那时候,银行会要求用户,在银行的底单上印上存款人的私章——取钱的时候带上私章,由银行职员核对印鉴,这是最早的银行密码的雏形。
到了1993年,随着电脑网络的发展,银行业务实行电脑联网。其中与个人关系最紧密的是活期存款,银行从那时开始让储户设置个人密码。“原来的设置密码的规定不是硬性的,只是提示客户,设置密码后会比较安全。有些老人嫌麻烦,没有设,但有很多人觉得很新鲜愿意接受。”中国银行福州分行的曾禄清在银行工作了近15年,中国银行也是国内最早实行电脑联网的银行之一。曾禄清回忆说,“刚开始怕忘掉,很多人都设计得很简单,比如说‘1234等等。”
为了方便记忆,身份证的后几位数、生日、电话号码、门牌号,是那时候老百姓最常用的密码。由于当时的技术条件有限,银行并没有对密码采取严格的规定,只是要求在4位数以上,这不但有安全隐患,储户容易记混,银行之间也容易造成混乱。后来,银行密码统一规定为6位数。
南开大学信息安全领域的博士张翰告诉《中国新闻周刊》,“信息化后,个人的信息都存在数据库内,数据库的特定性是只允许‘自己能进,这就需要密码来保护,(密码准入)也是最简单的方法。”
1996年,全国银行系统普及了密码的使用和设备更替。1999年开始,银行存取款必须使用密码就变成了硬性规定。现在在多数银行里,只要输入密码,凭存折或储蓄卡,就能进行五万元以下的支取,无需身份证。
有密码就安全吗?
使用密码认证,确实让我们在很多时候觉得方便。可用一组字符代替个人证件,越方便就越缺乏安全感。
民用密码最广泛的两个领域是银行、互联网。互联网信息的防护,也经过这样一个从简单到逐渐成熟的过程。
以电子邮箱为例,2000年前后,国内各大网站开始大规模开发此项服务,那时候网站对邮箱密码的要求并不太严格,规定只要三个字符以上即可,有许多人就用123、ABC等做密码。
在收到了用户邮箱被盗的反馈后,网站将密码最少数位提升至6位。每个网站的密码防盗措施也都不太一样,通常各网站的保护系统都由自己研发,并有专门的部门管理。
各网站在用户注册时,都会做好很多准备,以防用户密码遗失。通常最常见的是提醒用户,用字母和数字组合设置密码,或者是让用户自己设计忘记密码时出现的问题、答案。搜狐邮件产品主管李红对《中国新闻周刊》说,“从免费到收费,再到企业邮箱,我们都根据需求,各邮箱的安全机制也不一样。”
“我和我的同事都会把密码分档,比如说我自己有三个密码:最安全的档,就用最复杂的密码,不仅用大小写,还把字母数字、字符,都混合在一起用。”李红说。
目前的网站密码保护主要有:安全码(注册时生成的备份码)、身份证、手机绑定等。
而用户希望自己的密码不易被窃取,最简单的方法就是使用复杂冗长的密码组合。“选阿拉伯数字当密码,每一位上就有10种可能性,如果是四位,就有1000种可能;如果再加上26个小写字母,26个大写字母,再加上各种符号,那每一位上都会有成百上千种可能性,这样密码的安全性就更高一些。”南开大学研究“混沌加密”的张翰博士解释关于密码的最简单的道理。
现在银行密码规定的6位数密码,诺贝尔物理奖获得者费曼曾经推算过,要解开一个6位的保险柜密码锁,理论上需要至少8000次尝试,也就是说,只要你的银行卡、存折的密码不被窃取,密码被破的可能性就很小。
而在互联网上,很多人密码就没那么保险了。
北京邮电大学信息安全中心“现代密码”博士杨义先介绍说,在今天的各种计算机网络上,普通密码已经阻挡不了黑客的进攻,每天都有大量的重要信息被转换成一串串代码后传输。如果加密的方法好的话,即使黑客们得到了这些代码也无济于事。但是,这种加密方法有一个致命的缺点,它等于是在“提醒”黑客“此地无银三百两”,告诉他们这里正在传输重要的信息。如果你“提醒”了黑客们你在传输重要信息,那么,黑客就可以有的放矢地调动若干台计算机联网进行破译计算。
所以事实上,绝对可靠的密码是没有的,任何密码都可以通过计算机的计算破译。随着网络和计算机的普及,联网并行计算的技术也日趋成熟和普及。在网络上,任何一个人破解密码的计算能力都不能低估。
民用密码=个人隐私权利
今天,大众已经对密码不胜其烦了,殊不知,那个最早提供密码术、将其推广到民间的科学家,直到1996年仍然在接受美国联邦调查局的调查。
1991年,美国学者齐默尔曼设计出一种经济而有效的产品,有了它,大众不需要密码专家指导就可以给自己的信息加密,他把这个软件叫做PGP(意思是绝对保密)。
当时的美国法律规定,密码术属于军火,但齐默尔曼还是铤而走险免费发放了这些加密软件。此后,他被美国海关当局提诉,罪名是:“非法出口军火,给敌对国家和恐怖分子提供进攻美国的工具”——一个软件的威力有这么大。
伴随着审判,一场关于个人隐私保护
的争论贯穿了整个90年代。
多年来,警察和情报部门已经习惯使用无线监听或网络监控来搜集对付恐怖分子和犯罪集团的证据,但是PGP软件的应用直接影响了他们的监听效果。执政者认为,密码术的广泛应用给恐怖分子、贩毒集团可乘之机。
如果不能快速破译情报,岂不是使整个国家坐在火药桶上?
而支持加密公众化的是公民和密码学家们,他们认为,人们急需使用密码来保护个人隐私。随着电子商务的发展,大的商业公司也加入进来,他们需要强大的密码术使得他们能在网络时代保证业务的安全。
哪一个更重要——公众的隐私还是政权的保障?
经过5年的斗争,公众和密码学家赢得了这场信息战。克林顿政府被迫更改了法律,大陪审团也放弃了对齐默尔曼定罪的想法。
密码技术仍在发展,“图灵奖”(计算机界最负盛名的奖项)得主姚期智在清华做报告时说,如果量子加密能够建立起来,量子密码很有可能是不可破译的。也就是说,我们拥有了“终极密码”。理论上,由于粒子的不确定性,要破译一个经过量子加密的密码很有可能就意味着将宇宙中每个原子都算上数亿年。
如果量子密码系统能够实现,密码的发展将会停止。它能够保证军队、商业的绝对安全,可是更严峻的问题将摆在我们面前,政府能够让民众应用这项技术吗?我们应该怎样保护我们的通讯系统,而不是保护犯罪?量子密码能够将隐私权发挥到极致,但是这到底是把我们带入光明,还是引向深渊?
对于这些问题,清华大学技术哲学博士张成岗的态度是,“科学是中性的,最终,人要自己决定走向何方。”
懒人无密码
像最著名的密码英格玛被破译的命运一样,新密码在发明之初总是宣称不可破译,但是最终还是被破译了。加密与解密就像洪七公遇上了欧阳锋,经过数百回合恶斗,至今仍打得难解难分,不分伯仲。
难怪侦探小说的鼻祖爱伦·坡说,“密码可破!人类不可能遗出即使才智运用得当也无法解开的密码!”
费曼是诺贝尔物理奖得主之一,二战期间。他为美国军方研究原子弹,由于生活乏味,开锁成了他的业余爱好。
经过推算,费曼发现解开一个6位的保险柜密码锁需要至少8000次尝试,但在现实中,他往往能够在10分钟内打开同事的保险柜。他说,最有效的方法不是数学,而是心理学。
后来,有个老锁匠告诉费曼,保险柜的出厂密码一般是“50—0—50”或者“25—5—25”,费曼用这个密码测试了整栋原子弹大楼,他惊奇地发现,每5个保险柜就有一个在使用原始密码。
有一次,他甚至用常数E(e=2.71828)作为密码,打开了29个保险柜,要知道,那里面装的可是有关原子弹的全部资料。
密码心理学告诉我们,人天生规懒惰!
不以为然吗?也许你认为自己想的东西别人不会知道,那就看看这个实验吧。
有人做一个心理试验,他们从大学中抽出了100名学生,要他们写下2个单词,并告诉他们这个单词是用于电脑的口令,且将来的使用率也很高!要求他们尽量慎重考虑!
测试结果如下:
1.用自己名字的中文拼音者多达37人,如:wangnai,zhangli,shenqin,等等。
2.用常用的英文单词的有25人,其中许多人都用了很有特定意义的单词,如:hello,good,happy,anything,等等。
5.用计算机的中经常出现的单词的18人,这些单词中还包括操作系统的命令,如:system,command,copy,harddisk,mouse,等等。
4.用自己的出生日期7人,年月日表示法各不相同!但其中有3人用了中国常用的日期表示方法!如870205等。
上述测试中,有21人选了两个一样的单词,接近相同的有33人!
当然,其他密码也有规律可循,如12545这样的“弱智型号码”,如昵称+888的“财迷型号码”,还有直接用手机或者电话号码的“懒惰型号码”。
显然,当我们设定口令时都会用自己熟悉的单词,这样能便于记忆,同时,我们也该想到,这也便于破译。
(本刊记者/文晔)