口令与隐私
文/肖新光
就在我开始撰稿之时,英国女王正在二战盟军密码破译中心所在地向英国儿童宣布一项密码破解挑战赛。这是自美国总统奥巴马在电视讲话中提醒公众注意密码安全后,第二位西方国家元首就很细节的安全技巧直接与民众进行对话,给充满口令和密码迷局的本月带来了有趣的风景。
微软决定强化Hotmail的口令安全管理,逐步禁止用户采用常见密码。很有趣的是,微软并没有采用所谓常见密码黑名单的策略,而是使用了统计策略,即微软认为使用人数高于一定阈值的密码就是不安全的密码。对于Hotmail这种大站来说,其密码原则上不应是明文存储,而是使用Hash,即密码禁忌问题变成了Hash频度统计问题。
索尼事件后,高频密码的统计结果被曝光。为了避免这种对具有大用户集的密码的破解,微软做出了一个非常巧妙的调整。
另一个与口令有关的事件是已经震惊全球的新闻集团“窃听门”。根据报道,此次事件中的很多短信窃听使用的口令竟然是通过猜测得到的。因为运营商会给用户设置一个简单的默认口令,而多数用户并不会自己修改这种毫无安全价值的口令,基于可能少数几个默认数字或者已知少量用户信息就可以尝试出大部分用户的口令。根据已经公开的的信息,其窃听手段无所不其极,包括在模拟电话时代通过信号扫描监听的方式窃听戴安娜王妃的手机。现在,尽管GSM和基站监听的成本也已经非常低廉,但通过默认密码来获取短信,确实是更加惠而不费的方法。每每有人为丢失手机而惴惴不安,却没有想到即使手机还在身边,通信的秘密也早已被窥视者洞悉。
我初涉信息安全时,一直以为默认口令的策略是初期运营商的愚蠢或者安全意识淡薄。但这些年过去了,他们依然没有改变。我们这才明白,这是以降低安全等级为代价来减少自己的支持成本。当用户因不知密码而无法操作某项业务时,客服会告诉你,如果您从未改过口令,可以尝试一下0000、1234或者您有效证件的后四位。
我们很难将此完全归结为运营商的问题,毕竟多数用户更在意方便性,这始终是不可改变的事实。但运营商在安全方面的努力远远不够,也同样是事实。此外,这也向在RSA令牌召回后以为可以凭某些新技术和算法特点取代RSA的企业和组织发出了提醒——安全的最大阻力并非来自攻击者,而是来自传统。
哈佛大学的一项研究遭到了批判,因为研究者下载了1700个Facebook用户的资料进行数据分析,经证实这些用户正好是哈佛2009届毕业生。研究人员因此被指控侵犯学生隐私。对僵尸和爬虫云集的中国微博、社交网站和通讯录来说,这种事似乎不算什么,但它却在美国却掀起了波澜。
随着云时代的到来和IT业寡头的形成,用户隐私保障越来越不取决于个人的安全能力和意识,而依赖于远端的云。但公众需要在与商业寡头的斗争中伸张自己的隐私权益,否则就会出现电影America: From Freedom to Fascism中那个有趣的场景——在你订一张披萨饼时,客服电话突然告诉你,翻开你媳妇订阅的某本杂志第几页有一张优惠卷可以使用。
在信息社会,公民不仅要能够有效地保护自己的生命和财产,也需要有效地保护自己的名誉和隐私。中国的信息安全产业能否稳步前进的一个重要支点,正是中国民众是否能建立起对个人隐私的崇尚、尊重和信仰。
作者肖新光,网名江海客,安天实验室首席技术架构师,研究方向为反病毒和计算机犯罪取证等。
本文选自《程序员》杂志2011年08期,更多精彩内容敬请关注08期杂志