11岁女孩用Diceware制高强度密码,每个2美元
你有多久没有修改你的账户密码了?你知道有黑客在以每秒数亿次的频率攻破你的隐私防线吗?你想过除了生日日期、电话号码、身份证后六位以外,设置密码还能有什么更安全的模式get吗?这些疑问绝非杞人忧天。互联网时代下,我们的隐私既被密码牢牢地锁在笼子里,又像是嗷嗷待哺的羔羊随时被宰。密码在设定的一瞬间,成了危险与安全的一体两面。可见,安全已经成为互联网时代下我们不得不时刻面对的问题。
那么问题来了,如何在可达到范围内最大程度的确保安全呢?本月初,一个来自纽约的11岁的女孩Mira Modi凭借对互联网与密码学高度的敏感性,给出了答案。她使用的是Diceware密码生成器,在dicewarepasswords.com上的售价是每个2美元。
Diceware是一个有着几十年历史的生成密码的方式。它的操作方法是掷六个面的骰子来随机生成数字,数字会对应一串字符。这些字合并成一个无意义的字符串(大概像这样ample banal bias delta gist latex),因为是随机的所以非常难破解。不过这个口令对人们来说又很容易记住。
每次订单一来,Modi就掷一次骰子,然后在相应的Diceware字符单上找到对应的字符。她亲手把字符串写在纸上然后寄给顾客。业务好的时候她一直忙的话,每小时可以赚12美元,这比纽约市8.75美元/小时高出1/3。
Diceware为何有较高的安全性?
密码破译专家Micah Lee表示,Diceware生成密码的安全性是非常高的。因为每掷一次骰子的数字不同,对应的字符也非常随机。在密码学里有一个“熵值”的概念,可以简单粗暴地理解为随机性。即你设置的密码熵值越高,密码的随机性就越高,那么你的密码的安全性就越高。但是从现实情况来看,用户自行设计的密码很难有较高的随机性。调查显示,人的大脑更倾向于选择常用的成语或语法。放到密码里来说,可能你在设置密码时会不自觉地按照正文开头里写的那样找到规律的字符排列,便于记忆。然而这边降低了密码的随机性,也提高了黑客攻破的风险。
正如Edward Snowden 在他写给 Laura Poitras的第一份邮件中提到:“请确认没人复制过你的私人秘钥,它的功能相当于口令。哪怕你的对手可以在一秒钟里猜一万亿组密码。”
如何记忆Diceware密码?
三个字:靠脑子!这真不是废话,因为任何存储于互联网的密码都有被盗的风险。所以即便Modi在密码生成之后,也是用加密邮件的方式寄给顾客,同时她也绝不会把顾客的密码存储在自己的电脑里。
所以,你要做的可以把密码写在纸上,随身带着它,需要的时候看几次,直到你记住它为止。
截至目前,Modi已经有30笔单成功交易。她说,她想让更多人使用到这样的密码,这样她就可以赚更多钱,之后还可能会有自己的网站。
via arstechnica