作者：兰道尔·斯特罗斯 （RANDALL STROSS）
发表：2010年9月4日
译者：iDo98

要强化你的密码，请选用一组混有字母、数字、标点符号的独特字符串。但要把这个密码记在脑中——决不要写下来。噢，对了，每隔几个月还要更改密码。

这些要点说明本以为能为我们起到保护作用。但事实无法做到。

一些电脑安全专家目前正在大力推介一种看似异端的观点，他们认为“强密码是没有必要的”，也没有必要经常更改。他们表示，那些对密码设定的庞冗繁杂要求让我们产生一种错觉，以为这样就能对潜在的攻击加以防卫。他们说，事实上，我们对那些更为强大的攻击威胁没有给予足够的重视。

下面就是一个能令人彻夜难眠的威胁：键盘记录器病毒。这种间谍软件是由病毒留存在电脑上，对该电脑所有的键盘操作进行记录——包括你能编制出的那些最强的密码，然后偷偷地将密码发送到一个远端位置。

微软研究院首席研究员、安全问题专家考麦克·赫雷（Cormac Herley）说：“要避免电脑染上键盘记录器病毒，这比你的任何强密码都重要万亿倍。”他说，防病毒软件可以检测并拦截许多类型的键盘记录器病毒，但“不能保证防病毒软件能对付所有的键盘记录器病毒。”

在对各种设置条件的密码要求进行研究之后，赫雷先生对系统管理员而不是用户持批评态度，认为他们迫使用户遵从那些晦涩不解的密码设定规则，给用户带来许多不便，而又没有对这些不便给予足够的重视。“需要提高对各种攻击的风险教育的不是用户，而是负责电脑安全的从业人员，”他在英国牛津皇后学院（Queen’s College）举行的一个安全专家会议——“新安全规范研讨会”（New Security Paradigms Workshop）上说，“这些安全建议为用户提供的不过是一个在成本效益上非常糟糕的折衷之策。”

有人可能会猜测，那些大流量网站——尤其是为用户提供个人财务信息的网站——会要求用户选用强密码。但事实证明，许多这类网站的密码政策是最宽松的。这些网站没有公开讨论安全漏洞，但赫雷先生说，如果这些网站的用户没有得到充分保护，从而免遭那些不知道密码的人的恶意攻击的话，那么这些网站是不可能采用这种宽松政策的。

赫雷先生与同在微软研究院工作的迪内·弗洛伦西奥（Dinei Florêncio）共同对75个网站的密码策略进行了研究。在7月份于华盛顿州雷蒙德（Redmond）举行的“适用的隐私与安全研讨会”（Symposium on Usable Privacy and Security）上，他们报告说，允许弱密码的网站多是流量大的商业网站，其中包括贝宝（Paypal），亚马逊（Amazon.com）及富达投资（Fidelity Investments）。那些坚持要求使用非常复杂的密码的网站大多是政府和大学网站。这种区别产生的原因是什么呢？他们认为，“当倡导可用性的呼声匮乏或者较弱时，安全措施就成为了一种不必要的限制。”

尼尔森诺曼集团（Nielsen Norman Group）是一家位于加州弗里蒙特（Fremont）的设计咨询公司，该公司的联合创始人之一唐纳德·诺曼（Donald A. Norman）也提出了同样的理由。在去年发表的一篇文章——《当安全措施成为妨碍时》（When Security Gets in the Way）中，他提到他那时任教的西北大学（Northwestern University）的网站密码规则。这些规则共有15项要求，冗繁得令人生畏。他认为，不合理的规则最终会致使系统安全性降低：用户最终得把密码写下来，保存在一个地方，可惜的是，这个保存地方很容易被发现。

“这些密码设定要求将忘记密码的用户自身被挡在自己的帐户之外，却又无法阻止恶意侵入者，”他说。

西北大学已将其密码要求减至8个，但这些规则仍纷繁复杂、使用困难。比如，密码中4位以上的连续字符不能与前7个密码发生重复，而且每隔120天需更换新密码。

相比之下，亚马逊网站只有一个要求：就是密码至少需6个字符长。就这一条。而且随便你何时更换密码。

如果攻击者能迅速连续尝试各种可能的密码字符组合，那么短密码无法提供有效的安全性。但是，正如赫雷先生和弗洛伦西奥先生所指出的，商业网站可以通过在登录失败一定次数后锁住帐号的做法，来阻止“穷举式攻击”。“如果在三次登录失败之后便锁住帐户24小时的话，”他们写道，“那么一个6位密码便可承受100年的持续攻击。”

西北大学高级数据安全分析师罗杰·萨费安（Roger A. Safian）表示，与亚马逊网站不同，很不幸的是，西北大学容易遭受穷举式攻击，因为登录失败之后该大学网站不会锁住帐户。他说，原因是任何人都可以利用锁定账户的网站政策，试图登录受害人的帐户，“他们知道不会成功侵入受害者的帐户，但也知道，受害人将无法使用该帐户。”（一个面临考试的学生，为了逃避考试，想阻止教授准备考试资料时，可能产生这种想法）

赫雷先生与微软研究院的斯图尔特·谢克特（Stuart Schechter）联合哈佛大学迈克尔·米成马赫（Michael Mitzenmacher）一起，开发了一个密码系统，该系统允许用户使用直接从字典里选取的非常短的密码。

在上个月在华盛顿举行的UNIX用户协会安全热门话题研讨会（Usenix Workshop on Hot Topics in Security）上，这三位专家建议，用户数上亿以上的网站，可以让用户任意选择密码——只要限制不同用户选用同一密码的次数。这就能使攻击者掌握的最常用密码表失效：比如，通过限制1亿用户中只能有100人使用同一个密码，那么，对每个账户进行同一次攻击的侥幸成功机会非常渺茫，赫雷先生在上个月的一次交谈中如此解释道。

赫雷先生说，他们提议的这个密码系统尚未经过测试，而且用户在选择密码被告知无法选用时，可能会不满意。但他说他相信，那些对“照要求去做；强密码有益于安全”的规定厌倦的用户，会非常欢迎一个允许任意字符组合的密码系统。

兰道尔·斯特罗斯是生活在硅谷的一位作家，他还在圣何塞州立大学（San Jose State University）担任商业组织与管理学教授。他的电子邮箱是：stross@nytimes.com。