【#2016/10/25 更】近來駭客事件頻繁,身處在駭客隨手一按,你的帳號密碼就全被看光光的時代,有什麼辦法能想到別人難以破解,甚至花上一生也不一定破解的了的密碼嗎?這位 11 歲的女孩說不定能給你滿意的答案。(責任編輯:張瑋倫)
你有多久沒有修改你的帳戶密碼了?你知道有駭客在以每秒數億次的頻率攻破你的隱私防線嗎?你想過除了生日日期、電話號碼、身份證以外,設置密碼還能有什麼更安全的模式嗎?這些疑問絕非杞人憂天。
我們的隱私既被密碼牢牢地鎖在籠子裡,又像是嗷嗷待哺的羔羊隨時被宰。密碼在設定的一瞬間,成了危險與安全的一體兩面。可見,安全已經成為網路時代下我們不得不時刻面對的問題。
那麼問題來了,如何在可達到範圍內最大程度的確保安全呢?本月初(2015/10),一個來自紐約的 11 歲的女孩 Mira Modi 憑藉對網路與密碼學高度的敏感性,給出了答案。
她使用的是 Diceware 密碼生成器,在 dicewarepasswords.com 上的售價是每組 8 美元(2016/10/25 更新)。
Diceware 是一個有著幾十年歷史的密碼生成方式。它的操作方法是擲六個面的骰子來隨機生成數字,數字會對應一串字符。這些字合併成一個無意義的字符串(大概像這樣 ample banal bias delta gist latex),因為是隨機的所以非常難破解。不過這個口令對人們來說又很容易記住。
每次訂單一來,Modi 就用 Diceware 口令生成強化密碼,然後在相應的 Diceware 字符單上找到對應的字符。之後她親手把字符串寫在紙上然後寄給顧客。
- Diceware 為何有較高的安全性?
密碼破譯專家 Micah Lee 表示,Diceware 生成密碼的安全性是非常高的。就像每擲一次骰子的數字不同,對應的字符也非常隨機。
在密碼學裡有一個「熵值」的概念,可以簡單粗暴地理解為隨機性。即你設置的密碼熵值越高,密碼的隨機性就越高,那麼你的密碼的安全性就越高。
但是從現實情況來看,用戶自行設計的密碼很難有較高的隨機性。調查顯示,人的大腦更傾向於選擇常用的成語或語法。放到密碼裡來說,可能你在設置密碼時,會不自覺地按照規律的字符排列,便於記憶。然而這邊降低了密碼的隨機性,也提高了駭客攻破的風險。
正如 Edward Snowden 在他寫給 Laura Poitras 的第一份郵件中提到:
「請確認沒人複製過你的私人秘鑰,它的功能相當於口令。哪怕你的對手可以在一秒鐘裡猜一萬億組密碼。」
- 如何記憶 Diceware 密碼?
三個字:靠腦子!這真不是廢話,因為任何存儲於網路的密碼都有被盜的風險。所以即便 Modi 在密碼生成之後,也是用加密郵件的方式寄給顧客,同時她也絕不會把顧客的密碼存儲在自己的電腦裡。
所以,你要做的可以把密碼寫在紙上,隨身帶著它,需要的時候看幾次,直到你記住它為止。
(本文轉自雷鋒網,未經授權不得轉載)
