提供商不应推卸责任！账户密码愈复杂就愈安全？完全是荒唐想法

文｜吴桐山

早前，Facebook就出现严重的信息安全漏洞，外泄全球超过5.33亿用户的资料，其中牵涉293万位香港用户。近年网络保安备受重视，各种服务日益依赖网络，服务供应商为了避免被盗，设计出愈来愈复杂的密码要求，但到头来只是把责任推给用户。是否愈复杂就愈安全呢？答案是否定的。但网站管理者出于卸责考虑，通常都会将密码规则设计得非常复杂，最后只会恶化了使用者的体验。

笔者日前透过康文署的“康体通”预定场地，不慎忘记密码，只好申请更改密码。系统对密码的要求非常严格：要求有英文字母、数字、特殊符号，还必须至少有一个字母是大写，这还不算是最离谱的，最离谱的是“不能设为最近八次用过的密码”，这就意味着，用户必须要准备九个或以上非常复杂的常用密码。试问一个普通市民，怎么可能记住九个或以上的复杂的常用密码？

你可能会说，只要记住密码，不更改就好了。但是系统每过几个月就会弹出提示，强制你修改密码。“不能设为最近八次用过的密码”，这刷新了我的认知。密码是为了保护账户不易被别人识破，理论上愈复杂的密码愈安全。我们用信息学中的“信息熵”（对信息多少的量化称为信息熵）作为评估密码强度的标准，其计算公式爲H=L*log2N，密码强度（H）与密码长度（L）和字符种类（N）两者有关。我们从公式得知：密码长度愈长，字符种类愈多，密码强度就愈高。

我将破解密码的方式分为在线和离线两种。在线模式，是黑客在网站上利用你高概率的密码尝试登入，这会受到网站登入次数的限制。如果你的密码是电话号码、生日、人名等，就会很容易被黑客猜到和破译，但只要有中等强度的密码，黑客在有限的登入次数内，基本不会猜到，那就起到了保护账户的作用。离线模式，是黑客先窃取网站的密码档，然后就可以把这个密码档在线下暴力破解，没有了破解次数的限制。如果能拿到密码档，理论上就不存在破解不了的密码，这只是个时间问题。百万次暴力破解强度的密码，与上千万次暴力破解强度的密码，破解难度的差别只在于几个小时而已，最终密码都会被破解。

小结一下，对于有密码登入次数限制的网站，中等强度的密码就够用；而对于出现安保漏洞的网站，如果密码档被整个窃走，那任何密码都是“无掩鸡笼”。在密码保护上，网站更多的是从技术的角度来考虑，而常常忽略了人的因素。根据心理学的研究，人的记忆是有规律的，用户不可能去记住一串没有意义的随机字符。用户为了迎合网站对复杂密码的要求，基于记忆的方便而选择结合电话号码、生日、人名等这些高频信息，或者直接把密码储存在云端，反而大大增加了被黑客破译的风险。密码安全的关键点在于网站本身，如果网站被黑客窃走了密码档，任何复杂的密码都无补于事。

“康体通”竟然要用户准备至少九个复杂的常用密码，是强人所难。这是康文署试图把密码保管的责任推卸到使用者的一种做法。如果只要求用户设置中等强度的密码，一旦网站的密码档被泄漏，康文署的官员有口难辩。但假如网站已经要求用户设置“九个”超级复杂的密码，这时网站的密码档被泄漏，康文署的官员就有了“卸膀”的借口：我已经做得足够好，只能归咎于黑客太可怕了。

版权声明：本文系作者原创文章，图片资料来源于网络，本文文字内容未经授权严禁非法转载，如需转载或引用必须征得作者同意并注明来源。