最新一期《連線(xiàn)》封面文章是《密碼危機(jī)》。網(wǎng)絡(luò)給人們帶來(lái)了巨大的便利，我們有了在線(xiàn)銀行、電子郵箱、微博還有各種云服務(wù)?？墒请S著賬戶(hù)不斷增加，它們的安全性卻越來(lái)越差，因?yàn)橐淮艽a早已無(wú)法保護(hù)我們……

封面報(bào)道

知道嗎？你有一個(gè)可以徹底毀掉你的秘密，一個(gè)保守的不太好的秘密。一串簡(jiǎn)單的數(shù)字可能會(huì)透露你的一切，如果你比較粗心，這串?dāng)?shù)字只有6位，而如果你比較謹(jǐn)慎，這串?dāng)?shù)字可能是16位。

自從信息時(shí)代拉開(kāi)帷幕，我們就想當(dāng)然的認(rèn)為精心設(shè)計(jì)的密碼可以保護(hù)隱私，可以保護(hù)你的郵箱、銀行賬號(hào)、地址、信用卡號(hào)，你孩子的照片或者更糟的是你的裸照，但是2012年這個(gè)神話(huà)破滅了，不管你的密碼設(shè)計(jì)得多么復(fù)雜多么獨(dú)特，都無(wú)法保護(hù)你。

如今泄密和轉(zhuǎn)儲(chǔ)越來(lái)越普遍，黑客會(huì)侵入系統(tǒng)把所有的用戶(hù)名和密碼都曬到網(wǎng)上?，F(xiàn)在人們習(xí)慣用郵箱作為用戶(hù)名，這很可能造成災(zāi)難性的后果，由于我們把很多信息存放在云存儲(chǔ)器上，所以通過(guò)蒙騙客服重置密碼越來(lái)越困難，但黑客開(kāi)始利用從網(wǎng)絡(luò)上獲取的各種公開(kāi)信息侵入你的其他賬號(hào)。

這個(gè)夏天黑客僅用了一個(gè)小時(shí)就徹底摧毀了我的數(shù)字生活。我的apple、Twitter和Gmail的密碼的設(shè)計(jì)的很好，分別有7位、10位和19位，都包含數(shù)字和字母有的還有字符，但是這三個(gè)賬戶(hù)是相互關(guān)聯(lián)的，一旦破譯出一個(gè)密碼就可以輕松侵入其他賬戶(hù)。因?yàn)槲矣泻芏喾劢z，所以這些黑客想要控制我的Twitter賬戶(hù)，為了拖延我找回密碼的時(shí)間，他們通過(guò)Apple賬戶(hù)侵入了我所有的設(shè)備，包括iPhone、iPad和MacBook，并刪掉了上面所有的內(nèi)容。

自那天后我就開(kāi)始研究網(wǎng)絡(luò)安全，結(jié)果讓我驚出一身冷汗，我們的數(shù)字世界真是太危險(xiǎn)了。比如我想侵入你在美國(guó)在線(xiàn)上的郵箱，我要做的就是向這個(gè)網(wǎng)站提供你的名字和一些個(gè)人信息，比如你出生的城市，這些資料在谷歌[微博]上很容易找到。然后美國(guó)在線(xiàn)就會(huì)重置密碼，而我就可以隨意瀏覽你的郵件了。

猜猜知道這些后我會(huì)做什么？首先是查出你在哪申請(qǐng)了網(wǎng)上銀行，然后登錄點(diǎn)擊忘記密碼？然后重置密碼并重新注冊(cè)，現(xiàn)在就我可以控制你的存款賬戶(hù)了。

今年夏天我學(xué)會(huì)了侵入任何類(lèi)型的賬戶(hù)。只要兩分鐘四美元，我就可以從國(guó)外的一個(gè)網(wǎng)站獲得你的信用卡號(hào)、電話(huà)號(hào)碼、社保號(hào)碼以及家庭地址。再給我五分鐘，我就可以侵入你的很多賬戶(hù)，比如亞馬遜[微博]、百思買(mǎi)、hulu以及微軟[微博]和網(wǎng)飛，再用十分鐘我就可以接管你的AT&T、康卡斯特和威瑞森賬戶(hù)，而只要二十分鐘我就可以擁有你的PayPal。盡管現(xiàn)在一些安全漏洞已經(jīng)被堵住，但是還有很多仍然存在，而且每天都會(huì)出現(xiàn)新的漏洞。

所有問(wèn)題都出自密碼。在電腦還不像現(xiàn)在這樣高度關(guān)聯(lián)的時(shí)代，密碼確實(shí)管用，然而今天不管你做什么，不管你多么小心也不管你的密碼多么復(fù)雜，都無(wú)法阻止一個(gè)處心積慮充滿(mǎn)惡意的人侵入你的賬戶(hù)。密碼的時(shí)代已經(jīng)過(guò)去，我們只是還沒(méi)意識(shí)到而已。

人類(lèi)很早就開(kāi)始使用密碼，而它一誕生就開(kāi)始有人破譯。公元前413年，伯羅奔尼撒戰(zhàn)爭(zhēng)打得正酣，希臘將軍狄摩西尼率5000士兵在西西里島登陸準(zhǔn)備襲擊錫拉庫(kù)扎。形勢(shì)對(duì)希臘非常有利，而錫拉庫(kù)扎似乎必輸無(wú)疑。

狄摩西尼的軍隊(duì)在夜晚混戰(zhàn)中被打散了，為了重新集結(jié)希臘人開(kāi)始高喊事先約定好的用于區(qū)分?jǐn)秤训陌堤?hào)。錫拉庫(kù)扎人注意到了這個(gè)暗號(hào)，當(dāng)遇到希臘人的大部隊(duì)時(shí)他們就會(huì)喊出暗號(hào)佯裝友軍。利用這條策略，弱小的錫拉庫(kù)扎人打敗了入侵者，這次戰(zhàn)役成為了那場(chǎng)戰(zhàn)爭(zhēng)的轉(zhuǎn)折點(diǎn)。

第一臺(tái)使用密碼的計(jì)算機(jī)是MIT在1961年開(kāi)發(fā)的相容時(shí)間分配系統(tǒng)(CTSS)，為了限制用戶(hù)使用的時(shí)間，CTSS設(shè)定了一個(gè)登錄程序。1962年為了獲得更多的使用時(shí)間，一個(gè)名叫艾倫-謝爾的博士生用了一個(gè)簡(jiǎn)單的手段騙過(guò)了登陸系統(tǒng)，他找到了包含所有用戶(hù)名和密碼的文件，然后把它們打印下來(lái)，從那以后他想上機(jī)多長(zhǎng)時(shí)間就上多長(zhǎng)時(shí)間。

網(wǎng)絡(luò)時(shí)代初期，密碼非常管用，這主要是因?yàn)槟菚r(shí)我們需要保護(hù)的數(shù)據(jù)非常少，最多就是郵箱和幾個(gè)電商網(wǎng)站的賬戶(hù)。那時(shí)獲取個(gè)人信息也不容易，而且侵入私人賬戶(hù)沒(méi)有意義，真正的黑客都把目標(biāo)鎖定在大公司的信息系統(tǒng)。

所以我們開(kāi)始放松警惕，郵箱地址變成了一種通用的登陸方式，幾乎成為所有賬號(hào)的用戶(hù)名，即便當(dāng)我們各種各樣的賬號(hào)瘋狂增長(zhǎng)后依然如此?，F(xiàn)在我們通過(guò)郵箱地址進(jìn)入一系列云服務(wù)，在那里我們處理銀行業(yè)務(wù)，查看交易記錄，進(jìn)行稅務(wù)處理，我們甚至開(kāi)始在那里儲(chǔ)存自己的照片、文件和數(shù)據(jù)。

最終當(dāng)侵入個(gè)人賬戶(hù)的情況愈演愈烈后，人們開(kāi)始尋求一種奇怪的心理安慰：他們開(kāi)始尋求更安全的密碼保護(hù)，這也成為了很多網(wǎng)絡(luò)公司吸引人們?cè)谄渚W(wǎng)站注冊(cè)并儲(chǔ)存信息的噱頭。

面對(duì)現(xiàn)實(shí)世界，任何一個(gè)安全系統(tǒng)都必須做兩樣妥協(xié)。一是方便，如果難以登陸那么最安全的系統(tǒng)并不意味著就是最好的，256位的十六進(jìn)制密碼可以確保安全，但你可能永遠(yuǎn)無(wú)法進(jìn)入自己的賬戶(hù)。如果你不怕麻煩，提高賬戶(hù)的安全性非常容易，但這并不可行的。

第二個(gè)妥協(xié)是隱私，如果只考慮系統(tǒng)安全，那么任何用戶(hù)都無(wú)法忍受在使用過(guò)程中對(duì)隱私的踐踏。設(shè)想一下在你的臥室里安裝上門(mén)禁會(huì)怎樣？那里原本不需要鑰匙或者密碼，因?yàn)榘踩夹g(shù)應(yīng)該全天候應(yīng)用在大門(mén)上，當(dāng)確認(rèn)是你后門(mén)禁自動(dòng)取消。理想情況下如果沒(méi)有隱私，那么賬戶(hù)將非常安全，但是沒(méi)有人會(huì)接受這樣的系統(tǒng)。

二十年來(lái)各大網(wǎng)絡(luò)公司對(duì)這兩點(diǎn)做出了巨大的讓步，為了吸引用戶(hù)，他們的系統(tǒng)設(shè)計(jì)的即保護(hù)了人們的隱私又使用方便，然而安全性卻大打折扣。作為彌補(bǔ)措施他們建議把密碼設(shè)計(jì)的更復(fù)雜，只要密碼足夠長(zhǎng)、里面即包含數(shù)字又包含字母，再加上標(biāo)點(diǎn)符號(hào)，那么就萬(wàn)事大吉了。

然而事實(shí)并非如此?，F(xiàn)在一臺(tái)筆記本的處理能力比十年前的一臺(tái)高端工作站都強(qiáng)，破解一個(gè)長(zhǎng)密碼輕而易舉，而且新的黑客技術(shù)層出不窮，盜取我們的密碼猶如探囊取物，更重要的是黑客可以完全不用密碼直接攻擊我們的賬戶(hù)，因此不管密碼設(shè)計(jì)的多長(zhǎng)多復(fù)雜都是徒勞。2011年數(shù)據(jù)泄露案件增長(zhǎng)了67%，一些大的泄漏還引發(fā)了巨額的損失：2011年索尼的PlayStation數(shù)據(jù)庫(kù)被黑，這家公司不得不斥資1.71億美元重建網(wǎng)絡(luò)，保護(hù)用戶(hù)免受攻擊?？紤]到損失掉的生意，這次黑客事件給索尼帶來(lái)的損失超過(guò)10億美元。

為什么我們的密碼會(huì)如此不堪一擊？讓我們?cè)O(shè)想下黑客可能的手段：他們猜的、從一次密碼泄露事件中獲取的、破解的、通過(guò)鍵盤(pán)記錄器盜取的或者是欺騙客服重置了密碼、

讓我們從最簡(jiǎn)單的黑客手段說(shuō)起：猜測(cè)。事實(shí)證明粗心大意是網(wǎng)絡(luò)安全最大的敵人。盡管被反復(fù)警告，但是很多人還是會(huì)使用容易被預(yù)測(cè)的密碼。安全顧問(wèn)馬克-伯內(nèi)特編制了一本包含10000個(gè)最長(zhǎng)用密碼的小冊(cè)子，他發(fā)現(xiàn)人們最長(zhǎng)用的密碼就是“密碼”(注：英文的password)，其次是什么？沒(méi)錯(cuò)就是123456，如果你用這樣的密碼，侵入你的賬戶(hù)簡(jiǎn)直是小菜一碟。利用一些免費(fèi)的軟件，傻子都能破譯密碼，你要做的就是從網(wǎng)上下一份常用的密碼清單。

可令人震驚的不是我們還繼續(xù)用這些密碼，而是一些公司仍然準(zhǔn)許使用，他們應(yīng)該阻止這些常用的密碼被設(shè)定為密碼。但是即便改掉了這個(gè)壞習(xí)慣，我們的密碼仍然不安全。

我們普遍犯的另一個(gè)錯(cuò)誤是重新使用密碼，過(guò)去兩年很多信息被貼到網(wǎng)上公之于眾，LinkedIn、Yahoo、Gawker和eHarmony的信息都曾被盜取并對(duì)外公布。研究發(fā)現(xiàn)，49%的人會(huì)在兩次黑客襲擊中使用同樣的用戶(hù)名和密碼。

谷歌認(rèn)證系統(tǒng)工程師戴安娜-斯莫特說(shuō)：“重新使用被盜密碼是最讓我們頭疼的事情。”通常把用戶(hù)名和密碼貼到網(wǎng)上的黑客還算好的，有些人會(huì)把這些信息偷偷的出售。你的賬戶(hù)很可能已經(jīng)被侵入，但是你卻毫不知情，直到這個(gè)賬戶(hù)或者另一個(gè)用同樣密碼的賬戶(hù)被毀以后。

黑客還會(huì)通過(guò)一些手段來(lái)獲取密碼，最有名的技術(shù)就是釣魚(yú)，通常他們會(huì)模擬一個(gè)人們熟悉的網(wǎng)站，然后要求用戶(hù)輸入登陸信息。Shipley Energy的CTO史蒂夫-唐尼告訴我了一個(gè)關(guān)于這項(xiàng)技術(shù)如何侵入他們公司一位董事賬戶(hù)的例子。為了保護(hù)AOL的郵箱，這個(gè)董事設(shè)了非常復(fù)雜的密碼，但是如果能讓用戶(hù)主動(dòng)提供密碼，你根本不需要去破解。

黑客給她發(fā)送了一個(gè)偽造的AOL網(wǎng)頁(yè)并向她詢(xún)問(wèn)密碼，她照做了，此后一直相安無(wú)事。最初黑客一直潛伏著，他閱讀了這位董事所有的郵件并逐漸對(duì)她有了了解，黑客知道了她把錢(qián)存在哪個(gè)銀行，她雇傭了一個(gè)會(huì)計(jì)師幫她打理財(cái)務(wù)，黑客甚至知道了她用電腦的習(xí)慣，她常說(shuō)的話(huà)和常用的問(wèn)候語(yǔ)。終于有一天黑客給她的會(huì)計(jì)師發(fā)了郵件，要求分三筆給黑客在澳大利亞的賬戶(hù)轉(zhuǎn)12萬(wàn)美元，而當(dāng)這位董事發(fā)現(xiàn)的時(shí)候已經(jīng)轉(zhuǎn)走了8.9萬(wàn)美元。

使用病毒軟件是更惡毒的盜取密碼的辦法，將病毒植入你的電腦然后偷偷把你的數(shù)據(jù)傳給別人。根據(jù)威瑞森的報(bào)告，2011年有69%數(shù)據(jù)泄漏事件都是因病毒軟件的攻擊，這些病毒在Windows系統(tǒng)中傳播，現(xiàn)在越來(lái)越多的開(kāi)始在安卓系統(tǒng)中傳播。這些病毒的工作原理是在你的電腦上安裝鍵盤(pán)監(jiān)視軟件或者其他間諜軟件，這些軟件可以看到你輸入的東西或者是瀏覽的網(wǎng)頁(yè)。它們的目標(biāo)通常是大的機(jī)構(gòu)組織，目的不僅僅是偷密碼，而是要侵入整個(gè)系統(tǒng)。

2007年出現(xiàn)的ZeuS就是一種非常厲害的病毒，通常釣魚(yú)軟件會(huì)發(fā)送一個(gè)詐騙鏈接，只要點(diǎn)擊一下病毒就安裝到你的電腦里，然后這個(gè)軟件就等著你登錄網(wǎng)上銀行或者其他什么賬戶(hù)，只要你進(jìn)行這樣的操作，ZeuS就會(huì)記住你的密碼，然后發(fā)送給守候著的黑客。2010年FBI就在烏克蘭逮捕了五名黑客，他們利用ZeuS從390名受害者那里盜取了7000萬(wàn)美元，其中大部分是在美國(guó)的小企業(yè)。

商務(wù)部網(wǎng)絡(luò)信用認(rèn)證國(guó)防戰(zhàn)略部主管杰里米-格蘭特說(shuō)：“小企業(yè)正成為黑客主要的襲擊目標(biāo)，它們比個(gè)人更有錢(qián)，但是比起大企業(yè)來(lái)說(shuō)防護(hù)要差得多。”

如果密碼問(wèn)題僅限于此，那我們還是可以應(yīng)對(duì)的。我們可以不用被貼出來(lái)的密碼和用戶(hù)名，我們可以對(duì)釣魚(yú)軟件更加警惕，我們還可以用殺毒軟件把病毒都消掉。

但是我們還必須應(yīng)對(duì)最薄弱的環(huán)節(jié)：人類(lèi)的記憶。為了不被破譯或者猜出來(lái)，密碼必須非常復(fù)雜。但是如果密碼過(guò)于復(fù)雜，你很可能會(huì)把它忘掉。因此很多基于密碼的系統(tǒng)都可以幫助你重置密碼，這種不得不做的妥協(xié)意味著恢復(fù)一個(gè)被遺忘的密碼不能太難，然而這又讓你的賬戶(hù)很容易被社交工程手段攻擊。盡管“社交”手段只占去年黑客攻擊事件的7%，但是其盜取的數(shù)據(jù)卻占37%。

今年夏天社交手段就使得我的Apple賬戶(hù)被盜用。黑客誘騙蘋(píng)果的客服重置了我的密碼，他們告訴了客服很多關(guān)于我的細(xì)節(jié)：我的地址、信用卡后四位。因?yàn)槲野烟O(píng)果的信箱設(shè)為Gmail的備用信箱，黑客又順藤摸瓜重置了Gmail的密碼，這個(gè)過(guò)程中我所有賬號(hào)里的信息都被刪除了，包括了八年來(lái)的郵件記錄和很多重要文件。黑客還在我的Twitter賬戶(hù)上發(fā)布了種族歧視和反同性戀的言論。

當(dāng)我的事引起軒然大波后，蘋(píng)果改變了服務(wù)條款：暫時(shí)終止通過(guò)電話(huà)重置密碼，但是仍可以在線(xiàn)修改。一個(gè)月后，又發(fā)生了一起針對(duì)《紐約時(shí)報(bào)》記者大衛(wèi)-伯格的黑客事件，這次他們截獲了博格“找回密碼問(wèn)題”的答案，然后重設(shè)了密碼。

為了找回丟失的密碼，你需要回答一些問(wèn)題，這些問(wèn)題的答案原本只有你知道。伯格的問(wèn)題是，1.你的第一輛車(chē)是什么牌子？2.你最喜歡那款汽車(chē)3.千禧年那天晚上你在做什么？前兩個(gè)問(wèn)題的答案在谷歌上就能找到，他曾提到他的第一輛車(chē)是花冠，而他一直對(duì)豐田普銳斯贊不絕口。黑客開(kāi)始猜第三個(gè)問(wèn)題的答案，結(jié)果和絕大部分人一樣，伯格新千年的第一個(gè)凌晨在參加一個(gè)party，就這樣黑客們得手了。

也許你會(huì)認(rèn)為這種事不會(huì)發(fā)生在自己身上，畢竟伯格是網(wǎng)絡(luò)名人，他是一家主流媒體的專(zhuān)欄作家，經(jīng)常在網(wǎng)上發(fā)表自己的觀點(diǎn)。但是你有沒(méi)有想過(guò)你的LinkedIn賬戶(hù)，你的Facebook，或者其他親朋好友的賬戶(hù)？如果你經(jīng)常上網(wǎng)，那么回答你的問(wèn)題并不困難。你媽媽從前的名字可以在Ancestry.com上查到，你高中的吉祥物可以在Classmates上查到，你的生日以及你最好的朋友都在Facebook上。

那么到底什么人會(huì)做這些事？到底是誰(shuí)這么不予余力的要?dú)У裟愕纳睿窟@些人大致可以分為兩類(lèi)，海外犯罪團(tuán)伙以及討厭的孩子，不管哪一類(lèi)都讓人緊張。

犯罪團(tuán)伙效率高而且非常頻繁。曾經(jīng)寫(xiě)惡意軟件或者病毒程序只是一些黑客的業(yè)余愛(ài)好，但現(xiàn)在不是了，最近幾年早已演變成了有組織的犯罪。今天寫(xiě)病毒程序的人更多的是由前蘇聯(lián)國(guó)家一些犯罪團(tuán)伙控制的專(zhuān)業(yè)人員而不是窩在波士頓宿舍里的學(xué)生。他們的動(dòng)機(jī)非常簡(jiǎn)單：錢(qián)。

2011年講俄語(yǔ)的黑客就盜取了45億美元，考慮到這個(gè)數(shù)字你就不難理解為什么黑客行為越來(lái)越組織化、工業(yè)化甚至暴力化。通常他們目標(biāo)不是企業(yè)或者金融機(jī)構(gòu)而是個(gè)人。俄羅斯的網(wǎng)絡(luò)犯罪分子通常和俄國(guó)傳統(tǒng)的黑手黨有千絲萬(wàn)縷的聯(lián)系。通過(guò)釣魚(yú)軟件或者其他惡意軟件獲得受害人網(wǎng)上銀行的密碼，他們2011年從個(gè)人手中騙取了數(shù)千萬(wàn)美元。如果你在花旗銀行的密碼被盜，很可能就是這些強(qiáng)盜所為。

一些年輕人也讓人頭疼，盜取我和伯格賬戶(hù)的人是一個(gè)綽號(hào)“Dictate”的14歲的孩子。和傳統(tǒng)意義上的黑客不同，他只是和網(wǎng)站聯(lián)系要求重置密碼。他們這樣的人會(huì)從網(wǎng)上先搜集你的信息：你的名字、郵箱、家庭地址等等，這些都很容易找到。然而他們用這些信息重置你在Hulu和Netflix的密碼，從中再獲得更多的信息，比如你信用卡的后四位數(shù)字。一旦他有了這個(gè)數(shù)字就可以進(jìn)入你在AOL、微軟等重要的賬戶(hù)。很快通過(guò)不斷的嘗試他就能看到你的郵箱、照片和其他重要文件。為什么這些孩子會(huì)這樣做？大部分是為了惡作劇，他們最喜歡做的事就是在你的個(gè)人賬戶(hù)上發(fā)布種族歧視言論或者其他攻擊性的信息。

有這些孩子在密碼系統(tǒng)就不會(huì)安全。我們不可能把他們都逮起來(lái)，就算是可以，新人又會(huì)出現(xiàn)。任何適合65歲人的密碼系統(tǒng)幾秒鐘就會(huì)被14歲的黑客攻陷，這就是我們面臨的難題。

基于同樣的原因，很多人們想出來(lái)保護(hù)或者彌補(bǔ)密碼問(wèn)題的高招都無(wú)效。經(jīng)常有人說(shuō)Gmail的雙重認(rèn)證非常神奇，首先你必須在谷歌注冊(cè)你的手機(jī)號(hào)，然后只要你在一個(gè)陌生的IP地址登陸，谷歌就會(huì)發(fā)一個(gè)附加碼到你的手機(jī)上，這就是第二重保護(hù)。這樣就有效了么？讓我來(lái)告訴你馬修-普林斯的遭遇。

2012年夏天黑客盯上了CloudFlare的CEO普林斯。他們想侵入普林斯的Google賬戶(hù)，但是這個(gè)賬戶(hù)有雙重保護(hù)，他們是怎么做的？首先黑掉他的AT&T手機(jī)賬戶(hù)。AT&T使用社保號(hào)作為密碼，只要給運(yùn)營(yíng)商這九位數(shù)字甚至只需要四位，外加姓名、電話(huà)號(hào)碼以及郵寄地址等信息，就可以實(shí)現(xiàn)呼叫轉(zhuǎn)移。而現(xiàn)在獲取社保號(hào)碼太容易了，這些號(hào)碼在網(wǎng)上公開(kāi)售賣(mài)，而且想要誰(shuí)的都有。侵入普林斯的AT&T賬戶(hù)后，黑客要求谷歌的客服重置普林斯的密碼，而谷歌的確認(rèn)信息轉(zhuǎn)到了黑客那里，總之就是這么簡(jiǎn)單，雙重保護(hù)只是給黑客填了點(diǎn)麻煩而已。

密碼的時(shí)代已經(jīng)過(guò)去了，只是我們還沒(méi)有意識(shí)到，沒(méi)有人知道未來(lái)該朝何處發(fā)展，但是可以肯定的說(shuō)：僅通過(guò)一個(gè)秘密已經(jīng)無(wú)法保護(hù)我們的數(shù)據(jù)了，不管這個(gè)秘密是一串?dāng)?shù)字、十串?dāng)?shù)字或者是回答50個(gè)問(wèn)題?；ヂ?lián)網(wǎng)上沒(méi)有秘密，任何人只要點(diǎn)擊幾下鼠標(biāo)就可能知道一切。

我們的安全系統(tǒng)應(yīng)該圍繞用戶(hù)來(lái)設(shè)計(jì)：我們是誰(shuí)，我們做了什么，我們什么時(shí)候去了哪里，我們身上帶著什么或者在什么地方做了什么等等。每一個(gè)重要的賬戶(hù)都需要提供多個(gè)信息，不能只有兩個(gè)更不能只有一個(gè)。

最后一點(diǎn)至關(guān)重要。谷歌的雙重驗(yàn)證思路很好，但是他們應(yīng)該繼續(xù)推進(jìn)，雙重保護(hù)顯然不夠。想一想當(dāng)你在街上看到一個(gè)人，覺(jué)得他可能是你的一位朋友，你不會(huì)和他要身份證驗(yàn)證。你會(huì)有一個(gè)綜合的判斷，他換了新發(fā)型，他穿的是自己的夾克嗎？他的聲音變化了么？他是在自己經(jīng)常出沒(méi)的地方嗎？如果這些線(xiàn)索都不匹配，你不會(huì)只相信他的身份證，即便看上去很像你也會(huì)覺(jué)得他是冒牌的。

未來(lái)的網(wǎng)絡(luò)身份驗(yàn)證系統(tǒng)應(yīng)該是這么設(shè)計(jì)，盡管仍可能包括密碼，但其功能就像上面說(shuō)道的身份證，密碼只能是多重驗(yàn)證系統(tǒng)中的一個(gè)。

生物鑒定法可行么？也許是電影看多了，很多人認(rèn)為指紋識(shí)別或者眼角膜掃描可以取代密碼的功能，單一驗(yàn)證并且可以迅速識(shí)別。但是這兩個(gè)方法都有缺陷，首先支持它們的系統(tǒng)并不存在，這就像一個(gè)雞生蛋還是蛋生雞的問(wèn)題，指紋識(shí)別和眼角膜掃描系統(tǒng)價(jià)格昂貴而且經(jīng)常出問(wèn)題，因此沒(méi)人用，而正因?yàn)闆](méi)有人用所以它們永遠(yuǎn)不會(huì)變得更好更便宜。

第二個(gè)也是最要的問(wèn)題是單一驗(yàn)證系統(tǒng)存在的硬傷：指紋識(shí)別或者眼角膜掃描只能提供單一數(shù)據(jù)驗(yàn)證，而單一數(shù)據(jù)就會(huì)被盜取。盡管眼角膜識(shí)別在電影里看著非常炫，但在高清晰攝影時(shí)代，如果用你的臉、眼鏡或者指紋作為單一驗(yàn)證手段，就意味著任何人都可以侵入你的賬戶(hù)。

這是危言聳聽(tīng)么？絕對(duì)不是。凱文-米特尼克現(xiàn)在開(kāi)了自己的網(wǎng)絡(luò)安全公司，他曾是FBI通緝的黑客。如今公司雇傭他闖入自己的系統(tǒng)，然后告訴雇主他是怎么做的。最近一個(gè)客戶(hù)使用了聲音識(shí)別系統(tǒng)，為了進(jìn)入系統(tǒng)你必須重復(fù)一段隨機(jī)產(chǎn)生的數(shù)字，同時(shí)順序和說(shuō)話(huà)者的聲音必須匹配。米特尼克給他的客戶(hù)打了電話(huà)，并記錄了談話(huà)內(nèi)容，其間他誘導(dǎo)客戶(hù)說(shuō)了從0-9的所有數(shù)字，然后他對(duì)錄音進(jìn)行了處理，并在識(shí)別系統(tǒng)前播放錄制的數(shù)字讀音，安全系統(tǒng)就這樣被輕易攻破了。

當(dāng)然并不是說(shuō)生物鑒別毫無(wú)用處，需要生物驗(yàn)證的設(shè)備還是要使用它們。但是如果你要從一個(gè)陌生的地方登錄自己的銀行賬戶(hù)，那就要更多的步驟，你可能對(duì)著麥克說(shuō)一段話(huà)然后進(jìn)行匹配，或者手機(jī)相機(jī)抓拍你的臉部照片發(fā)送給三個(gè)好友，必須有其中一個(gè)人確認(rèn)后你才能進(jìn)行下一步的操作。

谷歌公司正在朝這個(gè)方向發(fā)展，除了雙重驗(yàn)證外他們還要看每次登錄和上一次的相關(guān)性，比如地點(diǎn)、設(shè)備以及其他谷歌沒(méi)披露的信息。如果發(fā)現(xiàn)異常，谷歌將要求用戶(hù)回答賬戶(hù)預(yù)設(shè)的問(wèn)題，如果無(wú)法回答問(wèn)題，谷歌將發(fā)送消息給用戶(hù)要求他改變密碼。

新的認(rèn)證系統(tǒng)很可能會(huì)要求我們?cè)诜奖愫碗[私方面重新做出權(quán)衡。顯然多重驗(yàn)證不方便，為了進(jìn)入賬戶(hù)你必須完成很多步驟，但更重要的是你必須犧牲更多的隱私，安全系統(tǒng)可能要獲取你的位置、愛(ài)好、講話(huà)方式或許是關(guān)于你的一切。

但是為了更好的身份驗(yàn)證，我們必須做出妥協(xié)有所犧牲，我們不可能回到過(guò)去，放棄云服務(wù)把自己的信息都裝到硬盤(pán)里，我們需要一個(gè)認(rèn)證系統(tǒng)確保我們繼續(xù)享受云技術(shù)。這可能需要巨額投資并帶來(lái)極大的不變，同時(shí)讓注重隱私的人不安，但已經(jīng)無(wú)法避免?，F(xiàn)在我們把自己的一切都交付給一個(gè)不安全的系統(tǒng)，因此第一步是要正視現(xiàn)實(shí)，第二步則是要改變它。