123456789和密码焦虑

（文 / 尚进）

123456789，在2011年12月21日泄露在网络上的66428632个CSDN信息库中，这组最偷懒的数字组合成了最常用的密码代表，有23.5万人在使用。这些明文存储的CSDN用户信息，其实早在两年前就被泄露，并且CSDN还只是一个程序员内部交流的开发分享平台。以往只是在黑客小圈子内被用来分享的密码破解参考，一下子被公开传了出来，随后嘟嘟牛、178游戏网等众多游戏社区也被公开数据，一夜间有超过5000万用户账号和密码被公开扩散。

此后电驴和迅雷等P2P分享平台上，几乎每天都会出现泄露资料的下载包，天涯社区、多玩网、世纪家园，被从黑客圈内暴露到公开网络上的私密信息，越来越逼近主流互联网服务供应商，从游戏社区到交友婚恋，甚至到掌握最终使用者准确家庭地址的电子商务网站，被曝出的信息也逐渐从简单的密码安全问题，一步步逼近实名化的真实个人信息。

尽管这次大范围的明文账户和密码被批量泄露，还没有涉及门户网站和几大传统互联网巨头，但是自我密码管理的安全问题却变得非常棘手。一方面是为寻找中国互联网用户普遍密码规则的穷举破解者，提供了前所未有丰富的个人密码设置规则参照；另一方面则是暴露了个人信息管理中的密码同质化，与123456789相比，以小键盘区竖向排列的147258369就算是复杂一些的了。更可怕在于每个人在多个网站间密码的相同记忆问题，也就是说为了便于记忆，很多人在不同网站会用同样的用户名和密码，一旦一个网站的用户信息泄露，等于其他网站也被泄露在外。利用穷举的机器碰撞实验，可以很快自动筛选破解用户账号，并且直接影射到支付宝和网络银行等在线金融支付工具的安全。

“不要相信自己的智力能挑战密码记忆极限，也不要觉得自己渺小的个人信息丢了无妨。”密码管理应用开发商SplashData每年公布的全球最差密码排行榜时都要如此提醒道。事实上，对于一直在推行网络实名制的韩国，已经感受到了个人信息泄露的危机，面对Facebook和Twitter的冲击，韩国广播通信委员会在去年12月初就不得不提出，日均访问超过1万名的网站考虑限制使用居民实名登录证。而随着互联网服务越来越偏向云计算，尤其是社交应用的平台化思维，每个人的数字资产或多或少正在向在线身份上转移，并且越来越指向实实在在的个人本身，电子支付和移动互联网应用下载的账户捆绑，从破解经济效益上，早已超过了骚扰式推广和人肉搜索。而现在整个互联网依托的安全逻辑机制，技术上并没有跳出补丁思维，也就是说一旦服务器被攻破，就寻找漏洞补上，这种漏洞机制并不会因为使用Linux和苹果系统而豁免，与以往传统的密码破解机制不同在于，云计算时代超级服务器拥有惊人的穷举暴力破解能力，过去十年间累积的密码样本库，几乎早已经涵盖了各种语言各种文化的个人密码设定规律。

在符合互联网思维的新安全机制被构思出来之前，提高密码复杂程度几乎成为为数不多的应急选择。在密码安全焦虑群体的心目中，自己都记不得的，才是唯一安全的密码。至少像1Password的密码管理机制，只需要记住一个最初设定的独立主密码，然后让1Password来记住不同网站毫无规律的随机密码，1Password与网站之间的密码匹配都是单项加密的，除了依靠独立主密码，根本没有可能暴力碰撞破解各个网站的不同密码体系。尽管无人敢许诺绝对的无风险，但至少1Password的密码工具模式，几乎是目前个人用户为数不多可以依赖的个人密码管理助手。

微软也已经意识到了整个数字生态在密码管理上的集体短板，还处于内测开发阶段的Windows8，已经着手加入类似1Password的密码管理机制，并且将其作为未来Winodws8平板电脑上，Metro风格第三方应用的密码程序接口，从而简化越来越互联网趋向的应用程序注册需求。这还不够，微软还在试验图片密码的机制，以一张图片长和宽都切割成100个分段来衡量，让使用者通过识图的手指滑动痕迹，从而借助人眼图形识别，替代传统密码字段来实现安全登录的许可。 移动互联网焦虑密码123456789密码管理