常换口令就安全？未必！

 

5月份第一个星期四是“世界口令日”，本应是提醒人们重新审视自己口令策略的日子，却被某些公司当成了公关机会，社交媒体上满是糟糕的建议。

今年的“糟糕口令建议”奖花落无线通信行业游说机构CTIA(美国无线通信与互联网协会)。该协会甚至为此专门设立了一个网页，在口令日当天上午各种发推宣传。

它在推文写道：“今天是世界#口令日！提醒你pin码/口令要常换常新哦。”然而，正如很多人立马指出的，这条建议根本臭不可闻。

不过，认真想想：这不是正确的建议吗？难道不是几乎所有系统管理员都不得不修改系统让人们每隔几个月就重置口令以更好地保证安全吗？

没错，但那都是2014年时的老黄历了。自2015年末开始，世界几大政府部门，从英国间谍机构GCHQ(政府通信总部)到美国标准设立机构国家标准与技术局(NIST)，再到消费者机构联邦贸易委员会(FTC)，都强烈建议不要频繁更换口令。

话虽如此，数十亿的用户名和口令泄露基本上定义了刚刚过去的这几年，从电子邮件提供商到信用征询机构、家装商店、零售店，甚至政府部门，都没能逃过用户名/口令泄露的魔爪。

既然是这样，难道不是更应该让人们定期更换口令吗？不好说。可以说是，也可以说不是。

说是，是因为这些信息总会过时，迅速变得无关紧要。说不是，是因为频繁重置伤精费神，容易让人们倾向于采用更简单的口令，并不能真正给使用暴力破解的黑客增加任何难度。

不过，即便2019年随着黑客攻击模式的改变而每个人都建议定期修改口令，即便到了2021年人们又严厉谴责那些提出了2018年建议的组织，我们都无需大惊小怪。

从来都不缺组织机构和个人上赶着告诉你你应该怎样操作口令：NCSC、CESG、NIST、FTC、谷歌、微软、Mozilla、斯诺登……

但那又怎样？他们都说是时候审视口令的不同方面了，但给出的建议又经常相互冲突。最后拿出的所谓最佳口令建议我们往往能在此后两年一遍又一遍地拎出来开嘲讽。

　　随机口令还是可读口令？

是个人都知道口令直接设成“password”就跟银行卡密码设成“123456”一样蠢。但还是有众多用户这么干，以致大多数登录门户设计者不得不直接设了硬编码的“愚蠢口令禁用”门槛。

但是，然后呢？“password1”又能好上多少？足够好了吗？替换几个字符，弄成“p@ssw0rd”这样的行不行？显然，客观讲，后者看起来是比前者强上一些。但问题是比这好得多的办法不是没有啊。不过，这些好办法基本落入两种选择：随机口令，或是可读口令。

最好的随机口令是真正随机的，不是什么转头就忘的奇怪拼写，而是压根儿永远记不住的字母、数字和符号的组合，比如“4&bqJv8dZrXgp”。

这种口令之所以更好，是因为要产生并使用它，你得用个口令管理器。口令管理器是个好东西，我们稍后再讨论。

但是还有个问题：如果有人想要破解你的随机口令，他们很可能会用自动化软件对一个系统狂轰滥炸成千上万个可能口令组合，直到最后命中正确的哪一个。

这种情况下，再怎么随机都没用，口令的长度决定一切。计算机无所谓你用哪种语言的字符当口令，但口令长度越长，所需猜解次数越多，而且是指数级增多。

　　经过20年的不懈努力，我们终于教会大家使用人类很难记住，但计算机很容易猜解的口令了。

当然，以上假设中很大一部分落在大家都会在口令中引入数字、符号和大写字母上。如果不引入这些东西，口令破解软件就只需尝试小写字母，破解时间会大幅缩短。

因为长度是关键，也因为输入随机字母和数字太考验人的耐性，有很多组织和个人就认为口令应由用户能实际记住的几个随机单词构成，比如“correct horse battery staple”。

这么做有点好处，谷歌已经推行好几年了。于是，哪种选择更好呢？随机口令？可读口令？

答案是：都好，也都不好。如果你想记住口令并亲自敲入，那可读单词组合更好。但如果太多人都不在口令中用到数字和符号，口令的强度会受到影响。

而且，很多组织机构严格的口令策略也要求用户注册时必须在口令中含有大写字母、数字和符号。这种情况下，可读单词组合式口令事实上并不可行。

总体看来，随机口令相比之下有效得多。因为随机口令通常会迫使用户转向另一种完全不同的口令使用方式——不同用户使用不同口令。这样就能规避掉使用相同口令的其他账户被黑的风险了。而且，如果用户已经启用反正都记不住的随机口令，那就不妨再长一点咯！

　　结论：如果想记住口令，用可读式的；否则，用随机的。但一定要确保口令长度不太短，至少要超过10位吧。

随之而来的另一个问题：

　　口令管理器还是大脑？

推荐使用口令管理器的理由简直不要太多。首先，如果你能养成每次登录都用口令管理器的习惯，那你基本上就是在提升自己的整体安全状况了——因为每次登录都不一样了。

另外，既然都已经用软件保存&粘贴口令了，为什么不增加点口令长度呢？随机+够长，真的是护住在线安全的好办法，也是仅凭用户名/口令访问机密信息的不安全系统中用户所能获得的最佳安全方式了。

不过，缺点也不是没有。源远流长的人脑还是会有些独特的优势的。

最大的优势当然就是存在人脑里的口令不会被黑，而存在某个数据库中的口令是有可能被黑的。口令管理器虽然很棒，但它们依然只是个软件，并不能免疫安全漏洞这种东西。

口令管理器提供商自然会加倍努力地保护自身产品安全。但商业需求会导致解决方案安全性作出妥协。比如说，最好口令管理器之一的1Password，就将其账户迁移到了“在线保险柜”中，用户的所有口令都存在线上，通过手机/计算机访问，而不是直接存在用户设备本地。

(责任编辑：安博涛)