最新一期《连线》封面文章是《密码危机》。网络给人们带来了巨大的便利,我们有了在线银行、电子邮箱、微博还有各种云服务。可是随着账户不断增加,它们的安全性却越来越差,因为一串密码早已无法保护我们……
封面报道
知道吗?你有一个可以彻底毁掉你的秘密,一个保守的不太好的秘密。一串简单的数字可能会透露你的一切,如果你比较粗心,这串数字只有6位,而如果你比较谨慎,这串数字可能是16位。
自从信息时代拉开帷幕,我们就想当然的认为精心设计的密码可以保护隐私,可以保护你的邮箱、银行账号、地址、信用卡号,你孩子的照片或者更糟的是你的裸照,但是2012年这个神话破灭了,不管你的密码设计得多么复杂多么独特,都无法保护你。
如今泄密和转储越来越普遍,黑客会侵入系统把所有的用户名和密码都晒到网上。现在人们习惯用邮箱作为用户名,这很可能造成灾难性的后果,由于我们把很多信息存放在云存储器上,所以通过蒙骗客服重置密码越来越困难,但黑客开始利用从网络上获取的各种公开信息侵入你的其他账号。
这个夏天黑客仅用了一个小时就彻底摧毁了我的数字生活。我的apple、Twitter和Gmail的密码的设计的很好,分别有7位、10位和19位,都包含数字和字母有的还有字符,但是这三个账户是相互关联的,一旦破译出一个密码就可以轻松侵入其他账户。因为我有很多粉丝,所以这些黑客想要控制我的Twitter账户,为了拖延我找回密码的时间,他们通过Apple账户侵入了我所有的设备,包括iPhone、iPad和MacBook,并删掉了上面所有的内容。
自那天后我就开始研究网络安全,结果让我惊出一身冷汗,我们的数字世界真是太危险了。比如我想侵入你在美国在线上的邮箱,我要做的就是向这个网站提供你的名字和一些个人信息,比如你出生的城市,这些资料在谷歌[微博]上很容易找到。然后美国在线就会重置密码,而我就可以随意浏览你的邮件了。
猜猜知道这些后我会做什么?首先是查出你在哪申请了网上银行,然后登录点击忘记密码?然后重置密码并重新注册,现在就我可以控制你的存款账户了。
今年夏天我学会了侵入任何类型的账户。只要两分钟四美元,我就可以从国外的一个网站获得你的信用卡号、电话号码、社保号码以及家庭地址。再给我五分钟,我就可以侵入你的很多账户,比如亚马逊[微博]、百思买、hulu以及微软[微博]和网飞,再用十分钟我就可以接管你的AT&T、康卡斯特和威瑞森账户,而只要二十分钟我就可以拥有你的PayPal。尽管现在一些安全漏洞已经被堵住,但是还有很多仍然存在,而且每天都会出现新的漏洞。
所有问题都出自密码。在电脑还不像现在这样高度关联的时代,密码确实管用,然而今天不管你做什么,不管你多么小心也不管你的密码多么复杂,都无法阻止一个处心积虑充满恶意的人侵入你的账户。密码的时代已经过去,我们只是还没意识到而已。
人类很早就开始使用密码,而它一诞生就开始有人破译。公元前413年,伯罗奔尼撒战争打得正酣,希腊将军狄摩西尼率5000士兵在西西里岛登陆准备袭击锡拉库扎。形势对希腊非常有利,而锡拉库扎似乎必输无疑。
狄摩西尼的军队在夜晚混战中被打散了,为了重新集结希腊人开始高喊事先约定好的用于区分敌友的暗号。锡拉库扎人注意到了这个暗号,当遇到希腊人的大部队时他们就会喊出暗号佯装友军。利用这条策略,弱小的锡拉库扎人打败了入侵者,这次战役成为了那场战争的转折点。
第一台使用密码的计算机是MIT在1961年开发的相容时间分配系统(CTSS),为了限制用户使用的时间,CTSS设定了一个登录程序。1962年为了获得更多的使用时间,一个名叫艾伦-谢尔的博士生用了一个简单的手段骗过了登陆系统,他找到了包含所有用户名和密码的文件,然后把它们打印下来,从那以后他想上机多长时间就上多长时间。
网络时代初期,密码非常管用,这主要是因为那时我们需要保护的数据非常少,最多就是邮箱和几个电商网站的账户。那时获取个人信息也不容易,而且侵入私人账户没有意义,真正的黑客都把目标锁定在大公司的信息系统。
所以我们开始放松警惕,邮箱地址变成了一种通用的登陆方式,几乎成为所有账号的用户名,即便当我们各种各样的账号疯狂增长后依然如此。现在我们通过邮箱地址进入一系列云服务,在那里我们处理银行业务,查看交易记录,进行税务处理,我们甚至开始在那里储存自己的照片、文件和数据。
最终当侵入个人账户的情况愈演愈烈后,人们开始寻求一种奇怪的心理安慰:他们开始寻求更安全的密码保护,这也成为了很多网络公司吸引人们在其网站注册并储存信息的噱头。
面对现实世界,任何一个安全系统都必须做两样妥协。一是方便,如果难以登陆那么最安全的系统并不意味着就是最好的,256位的十六进制密码可以确保安全,但你可能永远无法进入自己的账户。如果你不怕麻烦,提高账户的安全性非常容易,但这并不可行的。
第二个妥协是隐私,如果只考虑系统安全,那么任何用户都无法忍受在使用过程中对隐私的践踏。设想一下在你的卧室里安装上门禁会怎样?那里原本不需要钥匙或者密码,因为安全技术应该全天候应用在大门上,当确认是你后门禁自动取消。理想情况下如果没有隐私,那么账户将非常安全,但是没有人会接受这样的系统。
二十年来各大网络公司对这两点做出了巨大的让步,为了吸引用户,他们的系统设计的即保护了人们的隐私又使用方便,然而安全性却大打折扣。作为弥补措施他们建议把密码设计的更复杂,只要密码足够长、里面即包含数字又包含字母,再加上标点符号,那么就万事大吉了。
然而事实并非如此。现在一台笔记本的处理能力比十年前的一台高端工作站都强,破解一个长密码轻而易举,而且新的黑客技术层出不穷,盗取我们的密码犹如探囊取物,更重要的是黑客可以完全不用密码直接攻击我们的账户,因此不管密码设计的多长多复杂都是徒劳。2011年数据泄露案件增长了67%,一些大的泄漏还引发了巨额的损失:2011年索尼的PlayStation数据库被黑,这家公司不得不斥资1.71亿美元重建网络,保护用户免受攻击。考虑到损失掉的生意,这次黑客事件给索尼带来的损失超过10亿美元。
为什么我们的密码会如此不堪一击?让我们设想下黑客可能的手段:他们猜的、从一次密码泄露事件中获取的、破解的、通过键盘记录器盗取的或者是欺骗客服重置了密码、
让我们从最简单的黑客手段说起:猜测。事实证明粗心大意是网络安全最大的敌人。尽管被反复警告,但是很多人还是会使用容易被预测的密码。安全顾问马克-伯内特编制了一本包含10000个最长用密码的小册子,他发现人们最长用的密码就是“密码”(注:英文的password),其次是什么?没错就是123456,如果你用这样的密码,侵入你的账户简直是小菜一碟。利用一些免费的软件,傻子都能破译密码,你要做的就是从网上下一份常用的密码清单。
可令人震惊的不是我们还继续用这些密码,而是一些公司仍然准许使用,他们应该阻止这些常用的密码被设定为密码。但是即便改掉了这个坏习惯,我们的密码仍然不安全。
我们普遍犯的另一个错误是重新使用密码,过去两年很多信息被贴到网上公之于众,LinkedIn、Yahoo、Gawker和eHarmony的信息都曾被盗取并对外公布。研究发现,49%的人会在两次黑客袭击中使用同样的用户名和密码。
谷歌认证系统工程师戴安娜-斯莫特说:“重新使用被盗密码是最让我们头疼的事情。”通常把用户名和密码贴到网上的黑客还算好的,有些人会把这些信息偷偷的出售。你的账户很可能已经被侵入,但是你却毫不知情,直到这个账户或者另一个用同样密码的账户被毁以后。
黑客还会通过一些手段来获取密码,最有名的技术就是钓鱼,通常他们会模拟一个人们熟悉的网站,然后要求用户输入登陆信息。Shipley Energy的CTO史蒂夫-唐尼告诉我了一个关于这项技术如何侵入他们公司一位董事账户的例子。为了保护AOL的邮箱,这个董事设了非常复杂的密码,但是如果能让用户主动提供密码,你根本不需要去破解。
黑客给她发送了一个伪造的AOL网页并向她询问密码,她照做了,此后一直相安无事。最初黑客一直潜伏着,他阅读了这位董事所有的邮件并逐渐对她有了了解,黑客知道了她把钱存在哪个银行,她雇佣了一个会计师帮她打理财务,黑客甚至知道了她用电脑的习惯,她常说的话和常用的问候语。终于有一天黑客给她的会计师发了邮件,要求分三笔给黑客在澳大利亚的账户转12万美元,而当这位董事发现的时候已经转走了8.9万美元。
使用病毒软件是更恶毒的盗取密码的办法,将病毒植入你的电脑然后偷偷把你的数据传给别人。根据威瑞森的报告,2011年有69%数据泄漏事件都是因病毒软件的攻击,这些病毒在Windows系统中传播,现在越来越多的开始在安卓系统中传播。这些病毒的工作原理是在你的电脑上安装键盘监视软件或者其他间谍软件,这些软件可以看到你输入的东西或者是浏览的网页。它们的目标通常是大的机构组织,目的不仅仅是偷密码,而是要侵入整个系统。
2007年出现的ZeuS就是一种非常厉害的病毒,通常钓鱼软件会发送一个诈骗链接,只要点击一下病毒就安装到你的电脑里,然后这个软件就等着你登录网上银行或者其他什么账户,只要你进行这样的操作,ZeuS就会记住你的密码,然后发送给守候着的黑客。2010年FBI就在乌克兰逮捕了五名黑客,他们利用ZeuS从390名受害者那里盗取了7000万美元,其中大部分是在美国的小企业。
商务部网络信用认证国防战略部主管杰里米-格兰特说:“小企业正成为黑客主要的袭击目标,它们比个人更有钱,但是比起大企业来说防护要差得多。”
如果密码问题仅限于此,那我们还是可以应对的。我们可以不用被贴出来的密码和用户名,我们可以对钓鱼软件更加警惕,我们还可以用杀毒软件把病毒都消掉。
但是我们还必须应对最薄弱的环节:人类的记忆。为了不被破译或者猜出来,密码必须非常复杂。但是如果密码过于复杂,你很可能会把它忘掉。因此很多基于密码的系统都可以帮助你重置密码,这种不得不做的妥协意味着恢复一个被遗忘的密码不能太难,然而这又让你的账户很容易被社交工程手段攻击。尽管“社交”手段只占去年黑客攻击事件的7%,但是其盗取的数据却占37%。
今年夏天社交手段就使得我的Apple账户被盗用。黑客诱骗苹果的客服重置了我的密码,他们告诉了客服很多关于我的细节:我的地址、信用卡后四位。因为我把苹果的信箱设为Gmail的备用信箱,黑客又顺藤摸瓜重置了Gmail的密码,这个过程中我所有账号里的信息都被删除了,包括了八年来的邮件记录和很多重要文件。黑客还在我的Twitter账户上发布了种族歧视和反同性恋的言论。
当我的事引起轩然大波后,苹果改变了服务条款:暂时终止通过电话重置密码,但是仍可以在线修改。一个月后,又发生了一起针对《纽约时报》记者大卫-伯格的黑客事件,这次他们截获了博格“找回密码问题”的答案,然后重设了密码。
为了找回丢失的密码,你需要回答一些问题,这些问题的答案原本只有你知道。伯格的问题是,1.你的第一辆车是什么牌子?2.你最喜欢那款汽车3.千禧年那天晚上你在做什么?前两个问题的答案在谷歌上就能找到,他曾提到他的第一辆车是花冠,而他一直对丰田普锐斯赞不绝口。黑客开始猜第三个问题的答案,结果和绝大部分人一样,伯格新千年的第一个凌晨在参加一个party,就这样黑客们得手了。
也许你会认为这种事不会发生在自己身上,毕竟伯格是网络名人,他是一家主流媒体的专栏作家,经常在网上发表自己的观点。但是你有没有想过你的LinkedIn账户,你的Facebook,或者其他亲朋好友的账户?如果你经常上网,那么回答你的问题并不困难。你妈妈从前的名字可以在Ancestry.com上查到,你高中的吉祥物可以在Classmates上查到,你的生日以及你最好的朋友都在Facebook上。
那么到底什么人会做这些事?到底是谁这么不予余力的要毁掉你的生活?这些人大致可以分为两类,海外犯罪团伙以及讨厌的孩子,不管哪一类都让人紧张。
犯罪团伙效率高而且非常频繁。曾经写恶意软件或者病毒程序只是一些黑客的业余爱好,但现在不是了,最近几年早已演变成了有组织的犯罪。今天写病毒程序的人更多的是由前苏联国家一些犯罪团伙控制的专业人员而不是窝在波士顿宿舍里的学生。他们的动机非常简单:钱。
2011年讲俄语的黑客就盗取了45亿美元,考虑到这个数字你就不难理解为什么黑客行为越来越组织化、工业化甚至暴力化。通常他们目标不是企业或者金融机构而是个人。俄罗斯的网络犯罪分子通常和俄国传统的黑手党有千丝万缕的联系。通过钓鱼软件或者其他恶意软件获得受害人网上银行的密码,他们2011年从个人手中骗取了数千万美元。如果你在花旗银行的密码被盗,很可能就是这些强盗所为。
一些年轻人也让人头疼,盗取我和伯格账户的人是一个绰号“Dictate”的14岁的孩子。和传统意义上的黑客不同,他只是和网站联系要求重置密码。他们这样的人会从网上先搜集你的信息:你的名字、邮箱、家庭地址等等,这些都很容易找到。然而他们用这些信息重置你在Hulu和Netflix的密码,从中再获得更多的信息,比如你信用卡的后四位数字。一旦他有了这个数字就可以进入你在AOL、微软等重要的账户。很快通过不断的尝试他就能看到你的邮箱、照片和其他重要文件。为什么这些孩子会这样做?大部分是为了恶作剧,他们最喜欢做的事就是在你的个人账户上发布种族歧视言论或者其他攻击性的信息。
有这些孩子在密码系统就不会安全。我们不可能把他们都逮起来,就算是可以,新人又会出现。任何适合65岁人的密码系统几秒钟就会被14岁的黑客攻陷,这就是我们面临的难题。
基于同样的原因,很多人们想出来保护或者弥补密码问题的高招都无效。经常有人说Gmail的双重认证非常神奇,首先你必须在谷歌注册你的手机号,然后只要你在一个陌生的IP地址登陆,谷歌就会发一个附加码到你的手机上,这就是第二重保护。这样就有效了么?让我来告诉你马修-普林斯的遭遇。
2012年夏天黑客盯上了CloudFlare的CEO普林斯。他们想侵入普林斯的Google账户,但是这个账户有双重保护,他们是怎么做的?首先黑掉他的AT&T手机账户。AT&T使用社保号作为密码,只要给运营商这九位数字甚至只需要四位,外加姓名、电话号码以及邮寄地址等信息,就可以实现呼叫转移。而现在获取社保号码太容易了,这些号码在网上公开售卖,而且想要谁的都有。侵入普林斯的AT&T账户后,黑客要求谷歌的客服重置普林斯的密码,而谷歌的确认信息转到了黑客那里,总之就是这么简单,双重保护只是给黑客填了点麻烦而已。
密码的时代已经过去了,只是我们还没有意识到,没有人知道未来该朝何处发展,但是可以肯定的说:仅通过一个秘密已经无法保护我们的数据了,不管这个秘密是一串数字、十串数字或者是回答50个问题。互联网上没有秘密,任何人只要点击几下鼠标就可能知道一切。
我们的安全系统应该围绕用户来设计:我们是谁,我们做了什么,我们什么时候去了哪里,我们身上带着什么或者在什么地方做了什么等等。每一个重要的账户都需要提供多个信息,不能只有两个更不能只有一个。
最后一点至关重要。谷歌的双重验证思路很好,但是他们应该继续推进,双重保护显然不够。想一想当你在街上看到一个人,觉得他可能是你的一位朋友,你不会和他要身份证验证。你会有一个综合的判断,他换了新发型,他穿的是自己的夹克吗?他的声音变化了么?他是在自己经常出没的地方吗?如果这些线索都不匹配,你不会只相信他的身份证,即便看上去很像你也会觉得他是冒牌的。
未来的网络身份验证系统应该是这么设计,尽管仍可能包括密码,但其功能就像上面说道的身份证,密码只能是多重验证系统中的一个。
生物鉴定法可行么?也许是电影看多了,很多人认为指纹识别或者眼角膜扫描可以取代密码的功能,单一验证并且可以迅速识别。但是这两个方法都有缺陷,首先支持它们的系统并不存在,这就像一个鸡生蛋还是蛋生鸡的问题,指纹识别和眼角膜扫描系统价格昂贵而且经常出问题,因此没人用,而正因为没有人用所以它们永远不会变得更好更便宜。
第二个也是最要的问题是单一验证系统存在的硬伤:指纹识别或者眼角膜扫描只能提供单一数据验证,而单一数据就会被盗取。尽管眼角膜识别在电影里看着非常炫,但在高清晰摄影时代,如果用你的脸、眼镜或者指纹作为单一验证手段,就意味着任何人都可以侵入你的账户。
这是危言耸听么?绝对不是。凯文-米特尼克现在开了自己的网络安全公司,他曾是FBI通缉的黑客。如今公司雇佣他闯入自己的系统,然后告诉雇主他是怎么做的。最近一个客户使用了声音识别系统,为了进入系统你必须重复一段随机产生的数字,同时顺序和说话者的声音必须匹配。米特尼克给他的客户打了电话,并记录了谈话内容,其间他诱导客户说了从0-9的所有数字,然后他对录音进行了处理,并在识别系统前播放录制的数字读音,安全系统就这样被轻易攻破了。
当然并不是说生物鉴别毫无用处,需要生物验证的设备还是要使用它们。但是如果你要从一个陌生的地方登录自己的银行账户,那就要更多的步骤,你可能对着麦克说一段话然后进行匹配,或者手机相机抓拍你的脸部照片发送给三个好友,必须有其中一个人确认后你才能进行下一步的操作。
谷歌公司正在朝这个方向发展,除了双重验证外他们还要看每次登录和上一次的相关性,比如地点、设备以及其他谷歌没披露的信息。如果发现异常,谷歌将要求用户回答账户预设的问题,如果无法回答问题,谷歌将发送消息给用户要求他改变密码。
新的认证系统很可能会要求我们在方便和隐私方面重新做出权衡。显然多重验证不方便,为了进入账户你必须完成很多步骤,但更重要的是你必须牺牲更多的隐私,安全系统可能要获取你的位置、爱好、讲话方式或许是关于你的一切。
但是为了更好的身份验证,我们必须做出妥协有所牺牲,我们不可能回到过去,放弃云服务把自己的信息都装到硬盘里,我们需要一个认证系统确保我们继续享受云技术。这可能需要巨额投资并带来极大的不变,同时让注重隐私的人不安,但已经无法避免。现在我们把自己的一切都交付给一个不安全的系统,因此第一步是要正视现实,第二步则是要改变它。