數據泄密事件頻發 但密碼仍有生命力

導語：美國《華爾街日報》網絡版今天刊登題為《盡管數據大盜盛行 但密碼仍有生命力》(Despite Data Thefts, the Password Endures)的評論文章稱，雖然密碼技術存在種種弊端，而且引發了諸多數據泄密事件，但由於其成本低廉、使用簡單的特點，還是獲得了普通大的青睞。更何況，對於已經習慣了密碼的用戶來，要轉用全新的技術並非易事。

以下為文章全文：

密碼噩夢

二十世紀六十年代初，當費爾南多·卡巴托(Fernando Corbat)在麻省理工學院創造出第一個電腦密碼時，他完全沒有想到，一個潘多拉魔盒就此打開。

“這就像一場噩夢。”這位87歲高齡的退休研究員，“我認為沒有人能記住所有的密碼。”

密碼是不僅為電腦和智能手機用戶埋下了禍根，還給各大企業帶來了安全隱患。本周三，eBay呼籲該公司的1.45億用戶更改密碼，原因是該公司發生了數據泄露事件。但從以往的經驗來看，恐怕沒有多少人會留意到這種警告。

上月有專家披露了名為“心臟流血”的網絡加密漏洞，成為了互聯網發展史上最嚴重的漏洞之一。該漏洞可能會將數十億密碼暴露給黑客，但美國皮尤研究中心的調查發現，只有39%的成年網民在該漏洞曝光后取消了賬號或更改了密碼。

“密碼太可怕了，應該將它‘槍斃’。”傑裏米格蘭特，他所領導的美國國家網絡空間可信身份戰略項目(National Strategy for Trusted Identities in Cyberspace)是2011年由奧巴馬總統創立的，目的是加強網絡安全性。

廣泛滲透

盡管存在種種不足，但密碼早已滲透到人們生活的方方面面。它成本低廉、應用廣泛、易於使用，而它的替代方式至今沒有取得太大的進展。

“這是唯一一項從50年前沿用至今的技術。”eBay旗下PayPal業務高級網絡安全顧問佈雷特·麥克道威爾(Brett McDowell)。

有人希望用指紋識別器、虹膜掃描器和USB密鑰取代密碼，一系列的失望令企業高管、科學家和政府官員開始懷疑這種計劃的前景。麥克道威爾和美國銀行、谷歌及其他企業的管理人員都在合作推動一個名為Fido Alliance的密碼替代項目。

該項目最近發布了一套可以用於其他在身份認證形式的早期標準。PayPal正在使用該標準，而谷歌的內部測試也獲得了不錯的效果。

蘋果公司的最新一代iPhone就使用了指紋解鎖功能，但有用戶認為，輸入密碼跟把拇指放在讀卡器上解鎖手機的方式一樣方便。

沒人知道世界上究竟有多少密碼，部分原因在於它們滲透得太快，根本無法追蹤。智能手機、平板電腦和其他移動設備的使用量大增令情況進一步惡化。社交網絡和電子商務網站通常也都需要用戶使用密碼登錄，從而為其提供個性化的內容和廣告。

數據泄漏

盡管數據泄密和安全警告不於耳，但人們還是堅持使用易於記憶的密碼，而且經常在不同賬號中使用相同密碼。

“世界上最常用的密碼就好比世界上最常用的寶寶名字。”密碼管理公司SplashData CEO摩根·斯雷恩(Morgan Slain)，該公司每年都會發布一份年度“最差密碼”榜單，几乎每年的榜單都不會有太大變動，包含了“123456”、“password”和“qwerty”等最常用的密碼。

49歲的傑夫·邁爾斯(Jeff Mayers)想出了自己的辦法。這位前心臟外科醫生目前在Gilead Sciences公司從事藥物試驗，他表示，自己每個月都會在現有密碼后面增加一個數字。

“任何人只要有一點黑客技巧，都能立刻破解出來。”他。

替代方案

谷歌和Twitter等企業都在通過兩步認證模式來應對黑客攻擊。在用戶輸入密碼后，還要再輸入一個通過手機短信接收的認證碼才能進入賬號。

這種模式較之於單純的密碼更加安全，但如果手機丟失，仍會造成困擾，而且會放慢進入賬號的速度。

“所有這些都會製造額外的阻力。”EMC旗下數據安全部門RTSA前高管尤裏·裏弗納(Uri Rivner)。他最近參與創辦了一家名為BioCatch的公司，可以幫助各大網站通過用戶手持智能手機或在屏幕上拖拽滑鼠的方式認證其身份。他補充，一些主要的美國銀行已經開始使用這項技術，但他拒披露這些銀行的身份。

即使是最聰明的密碼，其安全程度也會受到負責存儲它的公司的限制。黑客可以借助“心臟流血”漏洞竊取企業伺服器上受保護的數據。

塔吉特公司表示，黑客去年利用從製冷承包商那裏竊取的密碼入侵了信用卡和借記卡系統，從而盜取了4000萬張卡片號碼。

目前還不清楚有多少人可能成為這兩起入侵事件的受害人。自此事發生以來，塔吉特已經採取了很多措施將有價值的數據與其網絡的其他部分隔離開來。在“心臟流血”漏洞今年4月曝光以來，已經有數十家網站呼籲用戶更改密碼。

阻力猶存

PayPal允許用戶在最新的三星Galaxy S5智能手機上使用感測器完成購物。蘋果CEO蒂姆·庫克(Tim Cook)也曾表示，在為最新一代iPhone添加指紋識別晶片時，該公司的高管就曾考慮移動支付功能。

蘋果的系統目前只能兼容iTunes等該公司自己的品。PayPal用戶卻可以在任何部署Fido標準的網站上使用相同的指紋。當然，當Galaxy S和iPhone 5s的指紋失效時，用戶仍然需要輸入密碼。

美國加州大學伯克利分校博士生斯圖爾特·蓋格(Stuart Geiger)專門研究人與技術的互動方式，他表示，要徹底拋棄密碼，需要硅谷各大企業的通力配合，這几乎涉及從網絡購物到視頻聊天的各個領域。

即使真的開發出了能夠徹底取代密碼的技術，數以億計早已習慣了密碼的美國網民是否真的願意為了提高安全性而改變設備使用方式？“慣性是個重要問題。”他。

當今的種種亂象早已超過了麻省理工學院教授名譽退休教授卡巴托當初的想象，他和他的同事當年之所以開發密碼，只是為了在共用的電腦上控制檔案訪問權限。

“我們當初也沒有預見到互聯網的誕生。”他。為了記住自己的各種密碼，卡巴托會把它們都寫在紙上。而現在，他則將這些內容都存儲到在檔案中。(鼎宏)