摘编自《三联生活周刊》/尚进
“请不要在使用中透露您的信用卡信息”,这是当今很多互联网应用软件和服务条款中反复重申的一项内容。因为没有任何加密的普通互联网数据流,每时每刻都可以轻易被截取,而那些网络安全专家们在媒体采访涉及网络安全的问题时,保准先给开出“勤换密码”这剂古老的药方,这就如同马三立相声中那句“挠挠”一样。
那么当今民用信息领域的密码技术到底安全吗?这是所有人最原始的疑问。这个问题如果你询问的是位数学家,那他保准会给你列出个方程式,按照理论几乎不存在无法破译的密码,多开一个次方只不过是拖延了破译的时间,而这个拖延的时间按照目前计算机的速度,将是几百年。而这个问题如果你询问的是位网络安全专家,那么他肯定会坦白地交代,目前银行普遍使用的256位级别加密,几乎不会出现安全问题,就算互联网上普遍使用的128位的密码手段也没问题,而实际上如何管理密码安全才是真正的危机,被别人偷看到密码比被破译要容易得多。
“每个用户要定期更换自己的邮箱密码”,这是电子邮件刚刚流行之初,各种探讨互联网的先锋媒体都试图提醒的话题。但面对各种版本的通讯软件,以及各自为战的论坛,要想定期更换密码,根本就是不可行的事情。《MIT技术观察》在2002年曾经发表过一篇论文,在作者的统计中82%的互联网用户根本就不更换密码,而且有27%的人始终是一套密码走天下。
“当今个人信息体系密码是最大的问题缺口”,一年一度的欧洲密码年会几乎每次都在探讨这个话题,但却始终没有给出靠谱的解决之道。于是为商业用户进行硬件加密措施,成为了信息时代最暴利的数字保安行业。几乎所有的美国大公司职员在异地登陆公司网络系统,都要配备一个用来计算密码的电子历,就跟二战德军潜艇战中的恩格尼玛密电本一样要防止丢失。
