谁来拯救我们的密码

jopen 12年前

谁来拯救我们的密码

        有人还记得连线的编辑 Mat Honan 吗?去年 11 月,他的密码被黑客攻破,电脑、平板电脑、手机上的资料都被清洗。在事后反思的时候,他无不感慨的说,“密码和人类的文明历史一样古老。但由于它们的存在,人们无休止地破坏它。”

        在新时代,个人信息四处流转,容易被人利用——国内“社会工程学”式的攻击已经令不少人蒙受损失。几个字母,电子邮件地址,一些安全提示的问 题,已经无法保护我。现在计算机的性能在不断提高,暴力破解密码的方式也已成为可能。再复杂的密码,只要被人盯上,那就是不安全的。

        网络的本质就是信息无边界的流转。如何才能超越“密码”,来抵挡互联网无孔不入的特性呢?其中一个方式是 Google 的“二步验证法,当你需要登录个人账户的时候,需要输入手机上的验证码。但 Google 还打算用一种更加安全的方式来保护个人信息,因为他们发现,一些“坏人”会用“钓鱼”的方式,骗到用户的密码。根据连线的报道,Google 选择与安全厂商 Yubico 合作。

        Yubico 的产品是 Yubikey,这是一个小型的 USB 设备,当插入电脑之后,设备上的绿环会亮起,表示已经成功地被电脑识别为 USB 键盘,并可以正常传输字符。说到这里,想必大家已经比较清楚,Yubikey 的作用是代替我们生成复杂的密码。

        当用户按下 YubiKey 的按键之后,设备就生成一个由 44 个字符所组成的字符串,其中有 12 个字符时 Yubikey 的设备 ID,其余的 32 个字符则是由英文字母乱序组合的一次性密码——尽管字符范围有所限制,但由于是一次性密码,而且长度达 44 位,强度已经足够。而根据 Tom Olzak 介绍,Yubico 还提供了一个工具,让将 Yubikey 从一次性密码生成器变为静态密码库。 现在,Yubikey 还可以与密码管理服务 Lastpass 相结合起来,甚至支持 NFC 加密技术。

        Google 打算让 Chrome 支持 Yubikey,当用户浏览网络的时候,只要按下 Yubikey,以及点击一次鼠标,就能完成注册。而下次登录网站的时候,也只需按下 Yubikey 便可输入密码。以往的密码保护方式是“以人脑为中心”的,而现在 Google 则提倡一种“以设备为中心”的保护方式。

        之前,我们也曾总结密码管理的几种额外身份的验证工具中,令牌(动态密码)、短信验证码的安全性最强——但果然这个世界没有“最”,只有“更”。