高强度密码不安全?试下这个色环吧

互联网 | 编辑: 潘翔城 2014-07-04 05:00:00转载

众所周知,密码正处在危急状态中。近日以来,轰动性的密码盗窃事件层出不穷,其频繁程度简直堪比贾斯汀·比伯(Justin Biebe)的丑闻。在 这种形势下,找到新的方法来保护网民的在线身份已是当务之急。人们想出的办法之一是设置所谓“高强度”的密码,也就是将数字、符号和大写字母混合到一起的 密码。举例来说,如果密码“spike”只需一次暴力攻击就会被破解,那么或许“Sp1ke!”能让密码安全性略微提高一些。

当然,跟所有密码一样,即使是强度较高的密码也面临着同样的固有问题。正如曾遭受过黑客攻击的《连线》杂志撰稿人马特·霍南(Mat Honan)所说的那样,密码就像是一张“邦迪创可贴,而现在这张邦迪已被一条血河冲走”。而根据设计系学生蕾妮·范霍文(Renee Verhoeven)的说法,这些所谓“高强度”的密码还存在另一个问题,那就是“人们没办法记住这种密码”。

这正是范霍文试图利用“ID协议”(ID Protocol)解决的问题,这是她在英国皇家艺术学院的毕业课题。为了这个课题,范霍文创造出了一种密码工具系列概念,这种概念放弃了用字母和数字做密码的作法,转而使用私密的“助记码”。自古希腊时代以来,各种各样的助记手段就一直都在以这样或那样的形式出现,其中包括日常的记忆技巧,例如首字母缩略词和韵脚等。

老师们很喜欢这种助记手段。举例来说,“My Very Educated Mother Just Served Us Nine Pizzas”(我的非常有教养的母亲刚刚给我们端上了九个比萨饼)的首字母缩略词能用来记忆太阳系九大行星的排列顺序。

范霍文在助记手段方面做了一些功课,结果是发现这种记忆方法拥有三大支柱:“首先是运动,因为肌肉记忆是真正私密化的记忆,谁也没办法偷走,而且其基础在于训练。”她说道。“第二个支柱则是‘联觉’(synesthesia),因此我查阅了各种认知和记忆相关的研究,并将密码解读为一种结构或是一个声音。最后一个则是以编造一个故事为基础;就现有的最普遍的助记手段而言,其中之一就是利用现有的词汇来编造一个故事。”

“ID协议”则可支持所有这三种支柱。到目前为止,“ID协议”还只是个概念,其原理是:用户首先选择一种“ID协议”通行证,然后利用一个USB记忆棒将这种卡状外形的设备插入电脑。随后用户会看到一个实体界面,这个界面能以几乎无限的方法来进行重新配置。

范霍文创造出了多种通行证,这些通行证使用的感知线索各有不同,其中有些是以色彩识别为基础的,其他一些则是以故事叙述为基础的,此外还有以图案构建和肌肉记忆为基础的。举例来说,用户不必选择一长串杂乱无章的字母来做密码,而是可以利用一个色环来创造由三种色调构成的图案,其效果就像是一种视觉化的密码锁。或者,用户也可以利用手头现有的雕刻工艺品来布置一个小小的“演员阵容”,用来叙述一个故事,并将其作为记忆密码的基础。

在这种概念中,用于解锁一台电脑的软件不会有所改变;与传统密码相比,唯一的区别在于用户端。

就密码设计而言,实际上现在已经开始有了一些进步。在移动领域中,Android操作系统使用了一种肌肉记忆的形式,要求用户画出一个图案来作为PIN码;与此同时,苹果iPhone 5智能手机的用户则已可使用指纹锁。所谓的“双因素认证”(two-factor authenticatio)能通过第二种设备来确认用户身份,从而大大增强密码的安全性。
当然,这些密码设计也存在自己的问题。如果用户使用生日或简单图案来设定PIN码,那么很容易就会被人猜出来(另外需要提一句的是,谷歌(微博)眼镜的佩戴者能在相隔数米的距离上盗窃这种密码)。

范霍文也指出,虽然“ID协议”密码不那么容易被盗用,但生物计量安全系统不允许用户获得新的密码。就“ID协议”而言,难题在于如何才能让用户重获一定程度上的“经办权”。这听起来或许有点像是天方夜谭,但寻找新的方式来赋予密码以人性化的特质,同时又能增强密码的安全性,这无论如何都不算是件坏事。

范霍文曾通过自学的方式攻破过一个密码锁,在这一过程中她发现盗窃密码竟然是那么轻松,这促使她开始严肃考虑有关密码的问题。不久以后,她参加了“货币设计未来大奖赛”(Future of Money Design Award),并在此次大赛中提出了一种概念。她在这个概念中构想了未来世界的一种场景:到那时,决定人们社会价值的要素将不再是金钱,而是其在线身份。

这次大奖赛让范霍文开始思考一个问题,那就是人们的“在线自我”应该拥有多种表达方式。“我们使用自己的在线身份的方法是输入密码。”她说道。“我所希望的是,人们能够选择自己的系统。现在的情况下,(在线服务)公司要求用户必须使用它们的登录方式,但人们可能更喜欢用颜色、语音或手势来设定密码。我十分希望(在线服务公司)能认识到,其实登录在线身份还有另一种方法。”

相关阅读

每日精选

点击查看更多

首页 手机 数码相机 笔记本 游戏 DIY硬件 硬件外设 办公中心 数字家电 平板电脑