eBay近日遭到黑客攻击并敦促用户尽快修改密码,让密码的脆弱性再一次暴露无遗。
计算机密码的发明者弗尔南-多考巴托
氧分子网 5月23日报道
自进入今年以来,网络安全行业可谓是流年不利。
先是在4月份曝出大规模存在的“心脏流血”漏洞,之后又不断发生密码失窃事件,比如最近eBay刚刚宣布其网站曾在2月底遭到黑客攻击并敦促客户尽快修改密码,密码显然已经成为一个相当严重的问题了。
而且现在连计算机密码的发明者——弗尔南多考巴托(Fernando Corbato)也有同感。考巴托是麻省理工学院计算机科学与工程系教授,著名的计算机系统专家,他在上个世纪60年代初期发明了计算机密码。
现年已87岁高龄的考巴托最近在接受媒体采访时表示,密码已经变成了“一种噩梦”。
他说:“不幸地是,它(指计算机密码)已经变成了互联网的一种噩梦。我认为没有人能够记住他使用过或设置过的所有密码。这就给人们出了个两难的选择题,要么继续把所有的密码抄记下来,要么就必须使用某种软件来管理密码。但是不管选哪种方案,都很烦人。”
考巴托接着说,他在过去的几十年里一共用过大概150个密码。据他自己称,密码并不是一种安全级别超高的解决方案,但它足以防止他人利用你的资料用合理猜测的方式去破解你的密码。
据企业移动识别解决方案供应商Usher的总裁乔纳森克雷恩(Jonathan Klein)称,密码还存在另一个重要问题,那就是它有天生的弱点。克雷恩此前在接受BI采访时曾解释说,向另一台服务器发送某种关键信息比如密码本身就容易受到黑客们的攻击。
在如何保证密码的安全性方面,即便是考巴托本人也束手无策。他说:“我不得不承认,我自己用本子把所有的密码都记了下来。我不认为我能保守住任何秘密。”
就如间谍电影里一样,使用3D打印制作假指纹已经成为可能,因此科学家提出了一种更加“未来主义”的密码形式。
编者按:在智能设备和大数据的时代,密码是个非常重要和敏感的问题。目前,大部分情境都是使用文本密码+安全问题,但实际证明,这是非常低级且不可靠的密码方式。感谢iPhone,现在指纹密码已经普及。指纹密码比文本密码更安全一些,但也不是无懈可击。就如间谍电影里一样,使用3D打印制作假指纹已经成为可能。科学家提出了一种更加“未来主义”的密码形式:检测用户的脑电波,用户只需要想一下只有自己知道的私密事情,设备就可以认证用户的身份。听起来很炫酷,也挺令人担心的,对不对?比如,自己的隐私想法会不会泄露呢?我们不妨一起来看一下对这个想法更详细的解释。
你怎样向电脑证明你的身份?你可以只用密码,或者使用预留的安全问题。但是,通过钓鱼软件、数据泄露或者一些老式的系统,你的密码很容易被破解。如今,你会应用一些比密码更安全、更难破解的验证方式:一些不是通过密码或回答问题等的方式。例如指纹,通过指纹我们可以验证手机、电脑以及银行账户。和其他生物计量学数据相同,指纹对一个人来说是独一无二的,当机器读取你的指纹时,电脑知道你就是那个正确的人。指纹比密码更安全,但也并不是说它就万无一失。2014年,某国政府雇佣黑客进入人事管理署电脑系统,盗走两千余万的美国个人资料——其中包含560万人的指纹信息。这些信息暂时没有出现在黑市交易,但是一旦被售卖或泄露,很容易侵害被盗人的信息安全。去年,密歇根大学用一台喷墨打印机和特种纸打印假的3D指纹印成功通过智能手机密码验证,所有设备花费还不超过500美元。
生物密码最基本的问题是不能“重置”
就算没有政府级别的盗取信息,还有其他方法可以收集指纹信息。日本国立情报研究所的研究人员称,可以从九英尺远的摆V字拍照姿势的照片里复制这位拍照者的指纹。Isao Echizen告诉金融时报的记者,只要你在社交软件里上传这些照片,指纹信息就已经泄露了。
脸型信息也很容易被黑客利用。乔治城大学的一个研究表明,至少一半的美国人在警察系统的脸型识别数据库里有登记信息,这些数据库包括驾照照片或者其他面部特写。但是黑客并不用入侵这些数据库来获得脸部照片——他们完全可以在脸书或者谷歌照片上下载,或者直接在街上拍。
这些数据就像指纹一样,可以被“用作他用”。去年,北卡罗来纳大学用一个人的脸书照片,建了一个人头部的3D模型,并用这个模型制作了生动的动画,这个动画成功的欺骗了5个中的4个他们用来做测试的脸部识别工具。
生物密码最基本的问题是不能重置。如果你的一个指纹被盗用,你还有其他备用。但是如果全部没了呢,一些执法数据库里有全部的十个手指指纹信息,全部重置是不可能的。眼睛和脸部也是同理,虹膜或者视网膜扫描,是不能重置信息的。和可以更改的密码不同,这些信息除非是身体受了损伤,不具有重置性。
“如果边境巡警或者你的手机要你的指纹信息,他们要做的其实是获得模仿你指纹的功能,与此同时,你的这些信息也不具有保密性了。”加利福尼亚大学的长期网络安全中心主管Betsy Cooper这样说。
而且,生物识别中应用最广的指纹和脸部识别,随着时间推移,识别效果非常稳定。密歇根大学生物统计研究小组一项自动脸部识别系统研究了18000名罪犯中的15000名的脸部照片,五年中的第一张和最近一张。研究人员发现,软件系统还可以识别一个人10年前的照片达到98%的准确性。甚至还有研究领域专门研究利用软件识别同一张脸的术前和术后。
同一个密歇根研究院研究发现,指纹也是很稳定的。他们研究了5年间被密歇根警局逮捕的15000名犯人的指纹信息。研究结果显示,一名12岁参与者的指纹信息可以达到百分百的准确率。在另外一个实验中,研究人员发现儿童的指纹在一岁时就开始稳定了,而且会保证至少一年的可识别期。
(不是所有的生物识别都是持久不变的:怀孕会改变女人眼睛虹膜的血管模式,有可能导致视网膜扫描无法识别。)
未来的密码:脑电波和私密记忆
为了避免静态的指纹、虹膜或者脸型识别的安全风险,一些研究开始开发可变的生物密码。
2013年,伯克利研究小组提出了一个未来主义的系统,名叫“passthoughts”(超想)。这项技术包含三个因素:你知道的(想法),你本身的(脑模式),你有的(脑电波传感器检测脑电波)。用passthoughts来验证,你只需要在佩戴传感器的同时想象你的秘密信息,这个信息可以是任何事情,一首歌、一个短语、一个图像。信息本身不会被传递,传递的只是你在思考时产生的电讯号的数式表达。
如果有人想要破解你在思考什么,他们不可能模拟你的想法,因为同一个问题,每个人的想法都不一样。黑客可以通过钓鱼软件系统,欺骗你进行特定的passthought,捕捉输出脑电波频率,之后模拟系统进行验证。但是不会一直成功,因为你会改变自己的passthought。
Cooper说研究者正在研究一项类似CRISPR的系统,可以将可变的加密信息嵌入DNA。这样,即使你的指纹已经不能再证明你的身份,有了可变的生物识别脑电波和基因技术,你还是有方法来证明自己的身份。
翻译来源:虫洞翻翻 译者ID:刘学