你有多久沒有修改你的帳戶密碼了?你知道有黑客在以每秒數億次的頻率攻破你的隱私防線嗎?你想過除了生日日期、電話號碼、身份證後六位以外,設置密碼還能有什麼更安全的模式get嗎?
這些疑問絕非杞人憂天。網際網路時代下,我們的隱私既被密碼牢牢地鎖在籠子裡,又像是嗷嗷待哺的羔羊隨時被宰。密碼在設定的一瞬間,成了危險與安全的一體兩面。可見,安全已經成為網際網路時代下我們不得不時刻面對的問題。
那麼問題來了,如何在可達到範圍內最大程度的確保安全呢?本月初,一個來自紐約的11歲的女孩Mira Modi憑藉對網際網路與密碼學高度的敏感性,給出了答案。她使用的是Diceware密碼生成器,在dicewarepasswords.com上的售價是每個2美元。
Diceware是一個有著幾十年歷史的生成密碼的方式。它的操作方法是擲六個面的骰子來隨機生成數字,數字會對應一串字符。這些字合併成一個無意義的字符串(大概像這樣ample banal bias delta gist latex),因為是隨機的所以非常難破解,不過這個口令對人們來說又很容易記住。
每次訂單一來,Modi就用Diceware口令生成強化密碼,然後在相應的Diceware字符單上找到對應的字符。她親手把字符串寫在紙上然後寄給顧客。
業務好的時候她一直忙的話,每小時可以賺12美元,這比紐約市8.75美元/小時的最低工資標準高出1/3。
Diceware為何有較高的安全性?
密碼破譯專家Micah Lee表示,Diceware生成密碼的安全性是非常高的。就像每擲一次骰子的數字不同,對應的字符也非常隨機。
在密碼學裡有一個「熵值」的概念,可以簡單粗暴地理解為隨機性,即你設置的密碼熵值越高,密碼的隨機性就越高,那麼你的密碼的安全性就越高,但是從現實情況來看,用戶自行設計的密碼很難有較高的隨機性。
調查顯示,人的大腦更傾向於選擇常用的成語或語法。放到密碼裡來說,可能你在設置密碼時會不自覺地按照正文開頭裡寫的那樣找到規律的字符排列,便於記憶,然而這邊降低了密碼的隨機性,也提高了黑客攻破的風險。
正如Edward Snowden 在他寫給Laura Poitras的第一份郵件中提到:「請確認沒人複製過你的私人秘鑰,它的功能相當於口令。哪怕你的對手可以在一秒鐘裡猜一萬億組密碼。」
如何記憶Diceware密碼?
三個字:靠腦子!這真不是廢話,因為任何存儲於網際網路的密碼都有被盜的風險,所以即便Modi在密碼生成之後,也是用加密郵件的方式寄給顧客,同時她也絕不會把顧客的密碼存儲在自己的電腦裡。
所以,你要做的可以把密碼寫在紙上,隨身帶著它,需要的時候看幾次,直到你記住它為止。
截至目前,Modi已經有30筆單成功交易。她說,她想讓更多人使用到這樣的密碼,這樣她就可以賺更多錢,之後還可能會有自己的網站。