02
密码之罪
网络服务还很单一的时候,我们需要使用的密码不多,它是一个低门槛的、便于普及的身份验证形式。在网络服务不断丰富之后,我们需要使用的密码随之增多,密码的种种麻烦接踵而至。密码多了容易遗忘,为了避免遗忘人们就会倾向于使用简单密码,或者复用密码,最终导致一连串的安全问题。
安全机构 SplashData 的研究显示,"123456"自2013年就开始霸榜最常用密码的榜单,123456789、"password"("密码"的英文)、"qwerty"(美式键盘布局左上角字母)等等是榜单TOP 5的钉子户。这些弱密码通常不到1秒就能被攻破,却还被广泛使用,其安全隐患不可估量。
数字密码的发明人、图灵奖得主费南多·柯巴托(Fernando Corbató)就曾坦言,密码如同当代人的噩梦,没有人能记住所有的密码,要么选择用小本本记着,要么用软件管理,两者都意味着莫大的麻烦。
柯巴托于1961年主导建立了第一个分时操作系统 CTSS(相容分时系统),首次在电脑上使用了密码作为系统保护。史上首次电脑密码首次泄漏事件,也恰恰发生在这套系统上。因为一个软件 bug,系统弄混了欢迎信息与主密码,结果所有登录系统的人都能看到 CTSS 的密码列表。
此后数十年间,人们为了提高密码的安全性,不断改进密码的存储方式。然而,这些方式没有从根本上改变人们记忆密码的方式,密码的命门,也就从未被消除。
