密码和它的替代品

科学家克利福德·斯托尔有一个非常著名的安全提示：“像对待自己的牙刷一样保护密码，不要让任何人触碰它，并且每6个月就将它更换一次。”这个提示看似非常有道理，可执行性也很强，但是却已经不那么适合千变万化的网络世界了。现如今数以亿计的网上银行、网络站点和Web服务以及移动设备都使用密码作为最主要的验证手段。但是这些密码并不像牙刷一样躺在家中，它们同时还存储在服务商的服务器上，而服务器受到黑客攻击导致泄漏用户账户信息的事情已经不是什么新鲜事了。除此之外，保护密码最基本的一点是，我们必须创建足够强大的密码，如果一个人使用类似“12345”或者“abcde”之类的密码，那么攻击者完全可以毫不费力地将它破解。

黑客像我们一样聪明

很不幸，我们必须依靠密码来使用各种Web服务，因为服务商不提供其他选择。不过，如果大家知道一点黑客的招数，那么要创建一个安全且容易记住的密码并不难。首先不要使用任何单词，即使是使用“1”代替了单词中的“a”或“i”、使用“3”代替了“e”，新一代破解密码的字典攻击也已经可破译这种简单的替换方法，自动生成的密码字典包括这种替换代码在内。其次，密码不能太短，现如今的电脑计算能力超强，一个密码无论如何复杂，如果它只有6位，那么使用强大的硬件设备，以暴力攻击方法破解密码，只需不到一分钟的时间就可以成功。而最重要的是，我们绝对不能在多个地方使用同一个密码，否则只要一个密码泄露，其他账户也会受到影响。

如何解决在不同的地方使用不同的密码而导致密码过多难以记住的问题呢？PayPal的科学家马库斯·贾克博森为大家提供了一个简单好用的密码创建方法，就是使用一个主密码，再结合一个根据特定页面创建的密码，如创建一个主密码“Hc84#”，主密码中不包含缩写或者生日日期等任何有意义的内容，然后在每一个网站上注册时使用主密码加上一个根据这个网站设计的密码，这部分同样不能够包含网站的名称、缩写等会被猜到的内容，例如Facebook，可以根据网站的主色调和名称的字符个数设计出密码“blue6”，或者再略做移位等技术处理，创建密码“bl6ue”。马库斯·贾克博森认为，用户只需记住主密码，自己为网站创建的密码只要记住创建的规则就可以了，而且必要时可以将这部分密码写下来，保存在公文包或者家中。

同样的创意可以用于设计取回密码的安全问题，这往往是网站注册不可或缺的一部分。通常安全问题是类似“你最喜欢的颜色？”这样的问题，如果我们喜欢的颜色是枣红，我们的安全问题答案是“Claret”，那么很容易就会被有心人猜出来。而应用马库斯·贾克博森的策略，我们填写的最喜欢颜色的答案可以是“Ma+%Claret%”，同样我们只需要记住真实答案以外的部分，就可以牢牢地记住这个答案。

部分网站支持填写电子邮件地址作为密码恢复的用途，我们最好能够创建专门用于恢复密码的邮箱。然后保护好这个电子邮箱账户，以便在最坏的情况下，通过它恢复其他网站的账户。电子邮件地址是我们数字身份的支撑点，是许多网站恢复密码的途径，保护电子邮箱的密码是网络安全的重中之重，在电子邮箱被控制的情况下，所有使用该邮箱注册的网站账户都可能被轻易地接管。

电子邮件：更好的保护措施

非常难以理解为什么那么多的电子邮件服务提供商（包括GMX、微软）不提供双因素身份验证，电子邮箱作为用户数字身份的支撑点，仅凭密码保护明显过于脆弱。任何人只要知道密码就可以接管邮箱，同时还接管了用户其他的数字身份。目前，只有少数电子邮件服务提供商支持双因素验证，用户在登录时除了要验证密码以外，还需要提交一个8位数的数字代码，此代码可以通过预留的手机接收或者通过手机上的应用程序产生。通过验证之后，用户可以授权在当前的设备上在较长一段时间内无需重新验证，避免每次登录时要验证两次的烦恼。而修改账户密码或者在任何其他设备上登录的请求都将需要进行双因素验证，确保没有人能够仅凭密码就接管用户的邮箱。

雅虎和Google是为数不多的支持双因素验证的大型电子邮件服务提供商。要在Gmail中使用双因素验证，可以单击个人头像，选择“账户”，在打开的页面左侧选择“安全性”，在“两步验证”中选择“设置”，转至两步验证设置页面后按照分步指南逐步完成设置。设置完成后将再次回到两步验证设置页面，再次登录将需要进行两步验证，手机将会收到一条包含验证码的短信。在其他支持双因素验证的网络服务中，设置的方法基本上与Gmail大同小异，相关的设置通常可以在账户设置的安全选项中找到。

毫无疑问，两次验证使用起来不如以往方便，另外如果更换手机号码，那么一定不要忘记修改两步验证的设置。如果希望更轻松地解决密码记忆和管理的问题，则可以考虑使用LastPass之类的密码管理软件。LastPass使用256位加密技术在线存储用户记录的密码，通过该应用支持的自动同步的浏览器插件与应用程序，用户能够随时随地访问自己记录的密码。如果需要，它甚至还能够在用户访问网站时自动键入密码。这样做有两个好处，一是我们只需要记住一个访问LastPass的主密码，不再需要记其他的密码；二是键盘记录器之类的木马无法对我们造成威胁。风险则是，必须完全依赖服务商，同时访问LastPass的主密码如果被盗，那么所有记录的密码都将泄漏。

另一种比较好的方法是类似OpenID的第三方验证服务，我们可以注册一个普遍适用的个人身份，生成一个验证身份的链接。在登录一个支持该服务的网站时，提交链接即可完成身份验证。这可以避免密码验证存在的相关安全隐患，但是前提条件是我们使用的Web服务支持OpenID，目前支持的网站仍然非常有限，特别是在中国，基本上很难行得通。