网络密码与网络安全,鱼与熊掌如何兼得?

  左手邮件密码、右手电子银行口令,账户多、密码多,人们不禁要问,这些网络密码安全吗? 现如今,黑客大军来势汹汹,如何防止密码被盗已经成为世界各国网络安全的一个头号问题。与其费尽心思封堵黑客,不如另辟蹊径,探寻密码的可替代性。眼下,美国国会山就这一主题正在进行激烈辩论。

  为慎重其事,美国就此成立了专门的项目组,研究替代网络商业密码和私人密码的可行性。早些时候,美国专门调拨资金进行了试点实验。民主党议员认为,共和党对此项目持否定态度。有批评者要求削减拨款,理由是此项目迄今为止,进展乏善可陈。一位匿名者认为,试点实验尚未形成令人满意的方案,因此往里砸钱非常不明智。

  项目组负责人杰里米·格兰特对此反击称,上述说法荒谬,未来的网络用户将进入“去密码时代”。今年6月,在一个项目集会上,格兰特表示,企图一夜成功太过天真,但我们正努力培育市场。

  十年来,有关密码是否是网络安全最薄弱的环节,网络思想领袖和科技公司领导一直各抒己见。奥巴马政府将寻求密码可替代性作为联邦政府目标之一,成为首个试水的先行者。格兰特甚至发出豪言壮语,“终结密码时代是工作核心目标,更是平生夙愿”。

  尽管该项目收获不少板砖,但相关研究仍然在继续。归根结底,原因在于黑客破解密码是分分钟的事。

  人类大脑对复杂的密码,譬如,字母+数字的组合,有着天然的记忆抗拒。因此,网络用户偏向于设成简单密码,如:“123456”或者“密码”。黑客的软件程序每秒钟可能运算上千次,破解此类简单密码不在话下。更重要的是,网络用户如果一直重复用同一组简单密码,再加上长时间不换密码,泄露的风险性必将大大增加。即使用户登录风险性较低的网站,例如新闻网站或者美食网站,如果长期多个账户使用同一密码,黑客有可能借机追踪,入侵用户的电子银行、邮件等等。

  基于此类风险,美国关于“去密码时代”大胆预想是,不久的将来,网络用户不再使用密码,取而代之的是,第三方在线服务商通过用户的名字、年龄、社保号、服役记录等私人信息验证身份。实际上,此类验证的雏形已经被广大网络用户广泛使用。当用户登录社交网站时,服务商将发送数字流验证用户身份。

  目前,由于密码的保密性存在漏洞,因此大大限制了服务商提供服务的范围。将来,相关研究人员的预期是,身份验证将包含指纹扫描、声音或面部识别、手机存储数字证书等方式。不用密码,你就可以从手机缴纳税款,也可以在自家的卧室内申请政府福利。

  批评者对此嗤之以鼻,认为这样的想象类似于“奥威尔式”世界。服务商扮演全知者,在网络上跟踪用户的一举一动,也有可能把用户信息告知美国联邦机构。

  试想,用户如果在网上订披萨饼。在填完披萨饼的具体要求后,网站将要求用户提供姓名、邮件地址,家庭住址、办公或者旅店地址,以及付款方式。因为披萨饼店希望顾客再次光顾。所以,它一定会储存订餐信息以便日后使用。

  这就涉及到了消费者的隐私问题。披萨饼店为保护顾客隐私将投入多大精力? 消费者是否信任? 一个月前,一名黑客窃取了一家披萨饼店超过50万名顾客信息。黑客勒索3万欧元,否则将把私人信息广而告之。

  面对批评者的质疑,研究人员不得不认真反思。如何才能鱼与熊掌兼得,在求得安全同时兼顾隐私,是“去密码时代”能否成功的关键。

上一篇:智能无惧挑战 山石网科轰动RSA2015

下一篇:谷歌眼镜新威胁:窃取密码准确率高达90%