密码和它的替代品

科学家克利福德·斯托尔有一个非常著名的安全提示：“像对待自己的牙刷一样保护密码，不要让任何人触碰它，并且每6个月就将它更换一次。”这个提示看似非常有道理，可执行性也很强，但是却已经不那么适合千变万化的网络世界了。现如今数以亿计的网上银行、网络站点和Web服务以及移动设备都使用密码作为最主要的验证手段。但是这些密码并不像牙刷一样躺在家中，它们同时还存储在服务商的服务器上，而服务器受到黑客攻击导致泄漏用户账户信息的事情已经不是什么新鲜事了。除此之外，保护密码最基本的一点是，我们必须创建足够强大的密码，如果一个人使用类似“12345”或者“abcde”之类的密码，那么攻击者完全可以毫不费力地将它破解。

黑客像我们一样聪明

很不幸，我们必须依靠密码来使用各种Web服务，因为服务商不提供其他选择。不过，如果大家知道一点黑客的招数，那么要创建一个安全且容易记住的密码并不难。首先不要使用任何单词，即使是使用“1”代替了单词中的“a”或“i”、使用“3”代替了“e”，新一代破解密码的字典攻击也已经可破译这种简单的替换方法，自动生成的密码字典包括这种替换代码在内。其次，密码不能太短，现如今的电脑计算能力超强，一个密码无论如何复杂，如果它只有6位，那么使用强大的硬件设备，以暴力攻击方法破解密码，只需不到一分钟的时间就可以成功。而最重要的是，我们绝对不能在多个地方使用同一个密码，否则只要一个密码泄露，其他账户也会受到影响。

如何解决在不同的地方使用不同的密码而导致密码过多难以记住的问题呢？PayPal的科学家马库斯·贾克博森为大家提供了一个简单好用的密码创建方法，就是使用一个主密码，再结合一个根据特定页面创建的密码，如创建一个主密码“Hc84#”，主密码中不包含缩写或者生日日期等任何有意义的内容，然后在每一个网站上注册时使用主密码加上一个根据这个网站设计的密码，这部分同样不能够包含网站的名称、缩写等会被猜到的内容，例如Facebook，可以根据网站的主色调和名称的字符个数设计出密码“blue6”，或者再略做移位等技术处理，创建密码“bl6ue”。马库斯·贾克博森认为，用户只需记住主密码，自己为网站创建的密码只要记住创建的规则就可以了，而且必要时可以将这部分密码写下来，保存在公文包或者家中。

同样的创意可以用于设计取回密码的安全问题，这往往是网站注册不可或缺的一部分。通常安全问题是类似“你最喜欢的颜色？”这样的问题，如果我们喜欢的颜色是枣红，我们的安全问题答案是“Claret”，那么很容易就会被有心人猜出来。而应用马库斯·贾克博森的策略，我们填写的最喜欢颜色的答案可以是“Ma+%Claret%”，同样我们只需要记住真实答案以外的部分，就可以牢牢地记住这个答案。

部分网站支持填写电子邮件地址作为密码恢复的用途，我们最好能够创建专门用于恢复密码的邮箱。然后保护好这个电子邮箱账户，以便在最坏的情况下，通过它恢复其他网站的账户。电子邮件地址是我们数字身份的支撑点，是许多网站恢复密码的途径，保护电子邮箱的密码是网络安全的重中之重，在电子邮箱被控制的情况下，所有使用该邮箱注册的网站账户都可能被轻易地接管。

电子邮件：更好的保护措施

非常难以理解为什么那么多的电子邮件服务提供商（包括GMX、微软）不提供双因素身份验证，电子邮箱作为用户数字身份的支撑点，仅凭密码保护明显过于脆弱。任何人只要知道密码就可以接管邮箱，同时还接管了用户其他的数字身份。目前，只有少数电子邮件服务提供商支持双因素验证，用户在登录时除了要验证密码以外，还需要提交一个8位数的数字代码，此代码可以通过预留的手机接收或者通过手机上的应用程序产生。通过验证之后，用户可以授权在当前的设备上在较长一段时间内无需重新验证，避免每次登录时要验证两次的烦恼。而修改账户密码或者在任何其他设备上登录的请求都将需要进行双因素验证，确保没有人能够仅凭密码就接管用户的邮箱。

雅虎和Google是为数不多的支持双因素验证的大型电子邮件服务提供商。要在Gmail中使用双因素验证，可以单击个人头像，选择“账户”，在打开的页面左侧选择“安全性”，在“两步验证”中选择“设置”，转至两步验证设置页面后按照分步指南逐步完成设置。设置完成后将再次回到两步验证设置页面，再次登录将需要进行两步验证，手机将会收到一条包含验证码的短信。在其他支持双因素验证的网络服务中，设置的方法基本上与Gmail大同小异，相关的设置通常可以在账户设置的安全选项中找到。

毫无疑问，两次验证使用起来不如以往方便，另外如果更换手机号码，那么一定不要忘记修改两步验证的设置。如果希望更轻松地解决密码记忆和管理的问题，则可以考虑使用LastPass之类的密码管理软件。LastPass使用256位加密技术在线存储用户记录的密码，通过该应用支持的自动同步的浏览器插件与应用程序，用户能够随时随地访问自己记录的密码。如果需要，它甚至还能够在用户访问网站时自动键入密码。这样做有两个好处，一是我们只需要记住一个访问LastPass的主密码，不再需要记其他的密码；二是键盘记录器之类的木马无法对我们造成威胁。风险则是，必须完全依赖服务商，同时访问LastPass的主密码如果被盗，那么所有记录的密码都将泄漏。

另一种比较好的方法是类似OpenID的第三方验证服务，我们可以注册一个普遍适用的个人身份，生成一个验证身份的链接。在登录一个支持该服务的网站时，提交链接即可完成身份验证。这可以避免密码验证存在的相关安全隐患，但是前提条件是我们使用的Web服务支持OpenID，目前支持的网站仍然非常有限，特别是在中国，基本上很难行得通。

Windows：将密码放进裤兜

我们可以通过上面讨论的密码创建技巧来设置安全的Windows密码，但如果希望进一步地提高安全性，那么我们还可以将输入密码登录Windows的方式改为通过闪存盘登录。从Windows Vista开始，Windows中提供了一个集成的解决方案——驱动器加密功能，不过它只适用于旗舰版和企业版（或Windows 8专业版）。

这个名为BitLocker驱动器加密的功能，可以将磁盘分区加密，用户需要通过密码或者闪存盘（推荐）解锁后方可使用Windows。要使用该功能，只需通过“控制面板|系统和安全|BitLocker驱动器加密|启用BitLocker”并按照向导的提示操作即可。

对于系统不支持BitLocker驱动器加密功能的用户来说，可以考虑使用“Rohos登录密钥”（）之类的软件，这类软件同样能够实现将闪存盘作为Windows钥匙的目的。如果希望像BitLocker驱动器加密功能一样，将磁盘分区的数据加密以增强安全性，则可以考虑使用TrueCrypt（）来加密磁盘分区，并将密钥存储在闪存盘上。

智能手机：泄露天机的指痕

除了网络账户与电脑以外，另一个需要保护的是移动设备，例如智能手机。大部分用户的手机上保存了大量的敏感信息，但是智能手机的保护措施却非常薄弱。首先，许多智能手机都存在安全漏洞，攻击者可以绕过保护措施，而用户对此可以说是无能为力的。而更安全的保护措施，例如在移动设备上使用的生物识别验证系统，现在大部分仍处于研发阶段。

目前，除了密码以外，大部分智能手机也支持通过滑动手势在屏幕上连接多个点来解锁手机。安全公司赛门铁克发现，40%的设备使用“1234”之类的密码，即使手机盗贼只有3次输入密码的机会，但仍旧有成功解锁的可能；而滑动手势的保护措施看似安全，但屏幕上留下的指痕很容易泄露天机。

相对于苹果和Google，微软已经在移动设备保护方面领先一步。在Windows 8中，我们可以使用图片密码，用户可以通过点击一个图片的任意位置，从一点拖动到另一点，并划一个圆圈登录系统。这种图片密码安全性比较高，因为点击的可以是图片的任何一个位置，连接的点和划圆圈的地方也不固定，攻击者很难知道我们设定的手势。另外，对于单纯使用触摸屏幕操作的用户来说，使用图片密码非常舒适，比输入一个复杂的密码舒服很多。

要使用图片密码功能，可以在Windows 8的侧边栏中点击“设置”，之后点击底部的“更改电脑设置”，选择“用户”，再单击“创建图片密码”按钮，系统将转到创建图片密码的窗口，并要求确认目前使用账号的密码，确认无误后进入图片密码创建界面。单击“选择图片”可以选择准备用于图片密码的图像文件，选择后返回，系统将要求单击“使用这张图片”确认选择或者单击“选择新图片”进行重新选择。确认选择后进入设置密码的步骤，我们可以设置3个手势，可以任意使用圆、直线和点，手势的大小、位置和方向以及画这些手势时的顺序都将成为图片密码的一部分。设置3个手势后，系统将提示重复刚才的手势，以便确认我们设置的手势。如果忘记了手势或者对原来的设置不满意，则可以单击“重新开始”按钮重新进行设置。设置完成后，在下一次登录时我们就可以通过图片密码验证登录了。

通过看来登录

机场安检和一些安全机构通过眼球扫描仪来识别身份，眼球扫描仪主要识别视网膜的毛细血管或虹膜的结构，在最佳条件下，这种检测几乎百分之百地准确，但是光线和受伤的眼睛将会影响识别的结果。此外，已经被证实，虹膜扫描仪可以被照片欺骗。通常，在移动设备中不适合采用红外线扫描技术，不过，应用程序EyeVerify可以通过拍摄眼睛和眼球的静脉来识别用户的身份。该功能只需两百万像素的摄像头即可满足识别要求，根据开发商的介绍，软件将拍摄左右两只眼睛以及眼睛的虹膜，只要这4个保存的数据与用户的任何一只眼睛的识别结果相符，即可解锁手机。也就是说，即使一只眼睛受伤，仍然可以解锁手机。除此之外，该软件通过改变摄像头的焦距，并检查眼睛的反应，可以区分识别的是一个真正的人还是照片。EyeVerify预计将在2013年的夏天开始正式投放市场。

银行的语音识别系统

日常生活中使用语音识别验证系统是比较困难的，主要是很难避免背景噪声的影响。只有在安静的环境中，语音频率分析或模式识别算法才能够可靠地工作。因此，研究人员正在努力提高降噪技术，并尝试更多不同的语音识别验证技术。德国的金融服务供应商GFT采用的VoiceTAN技术，在注册时用户需要在手机上重复说一个4位数字3次，系统将生成一个语音模式匹配数据并传输到GFT，以后在验证时用户将收到系统的自动呼叫，只需说出这个4位数字即可。根据GFT公司贝恩德·科尔的介绍，目前该系统的识别准确率大约为85%，仍有待进一步的改善，才能够真正推向市场。2013年3月，VoiceVault也提出了一个类似的解决方案，它还允许输入复杂的短语，如任何语言的一个完整的句子，通过花费更多的时间验证更多的数据，从而增加可靠性。

3D面部识别

从Android 4.0开始，用户可以通过面部识别技术解锁手机。面部解锁功能是可靠的，但需要足够的光线，有的时候需要多尝试几次。以往面部识别系统可能会被人用照片愚弄，但现在的系统将要求用户眨一下眼睛，证明被识别者是一个活生生的人。电脑用户可以使用面部识别方式登录系统，如使用软件Blink。2D面部识别系统可以根据人脸的80个特征（眼距、鼻宽等）来进行验证，通过收集到的特征数据，通过数值或模式匹配来识别用户的身份。不过，2D面部识别系统的误差相对比较大，抗干扰能力也不足，目前的趋势是使用对于光线要求没有那么强的3D面部识技术。3D面部识别技术可以生成精确的验证数据，结合皮肤表面的纹理分析功能，它甚至能够区分同卵双胞胎。目前，军事和警察系统已经开始使用3D面部识别技术，而智能手机方面也有类似FaceR MobileID这样的应用程序。

指纹扫描

在电脑上使用指纹扫描验证用户身份的技术已存在多年，一个更有趣的指纹扫描识别项目是myIDkey，它就像一个配备指纹扫描器的闪存盘，能够以加密方式存储用户的密码等敏感数据，将其接入电脑，通过指纹扫描识别确认用户的身份后，即可访问闪存盘上的数据了。如果指纹识别失败达到一定次数，它还会自动删除存储的所有数据。该产品将在2013年8月左右开始发售，售价为100美元左右。

行为模式

每一个人与设备交互的模式都是独特的，因而瑞典公司BehavioSec已经开发出一种识别软件，通过识别行为模式来提高身份验证系统的安全性。该软件除了验证用户输入的密码和手势是否正确以外，还通过用户是如何输入这些密码和手势来验证用户的身份。分析的因素包括打字速度、打字节奏、触摸屏的手势、鼠标的点击频率、按键的压力和角度等。此方法虽然简单，但确实能够有效地提高安全性。