最近,继承着艾伦·图灵衣钵的英国国家通讯总局工作人员表示:“之前网络上说的‘长密码才有用’都是口胡!”而他们算是密码破解算法领域中的佼佼者了。在爱德华·斯诺登揭露国家通讯总局与美国国家安全局的棱镜丑闻之后,很多怀疑论者会倾向于相信更复杂的密码。不过我们也不用太紧张,毕竟密码还是有点作用的。
就现在而言,通常网站都会建议我们使用长度更长/强度更高的密码并经常更换;而“强密码”中往往不仅仅含有常用字符,更包括了一些特殊符号,比如£,$,*等等。
然而现在他们又有了新的观点:请不要尝试在脑子中记住太多复杂的密码。由此可能产生的问题是,由于密码过于复杂,难以记忆,我们会一遍又一遍地忘记密码、更换密码、忘记密码、更换密码……由此形成一个恶性循环。而这反而会导致安全强度的降低。
因此,上周,在位于英国伦敦的英国国家网络安全中心,其CEO锡兰·马丁揭露了一些有趣的研究资料,它们都与我们的传统认知有所背离。在实验中,他们询问了英国所有的公民,让他们每个月尝试去记住长达600位的数字密码。他们表示:“其中,即使是记忆力最好的人都没办法牢记——因此我们也不该建议别人去用长密码。”
那么我们该用怎样的密码呢?现在,英国国家网络安全中心建议人们使用一些第三方软件,比如密码管理器。在这种软件上,我们只需要记住一条强密码来登录,在这些软件上记下自己的密码,之后它便会自动在网站上黏贴所需的密码。
而随着这种手段的诞生,一些人开始担心黏贴密码会为黑客带来便利。对此,密码管理器的开发者们正在研究更加智能的密码管理政策。国家网络安全中心和国家通讯总局态度的改变,证实了美国网络安全公司的市场调查结果。也就是说,的确存在这样的密码问题:目前网络上正存在至少900亿个密码,而以后,我们的冰箱、光照、加热系统等可能都需要密码,估计至2020年,全球将共有3000亿个密码。
不过,科技也在不断进步。从生物计量学的角度看来,日后面部识别技术将可以将一大部分密码打入冷宫——也就是说,像密码管理器这种备忘录形式的软件,在将来很可能没有什么价值。