Hristo Bojinov 希望你忘记你的密码。更确切地说,他希望你一开始就根本不知道它。斯坦福大学的计算机科学家 Bojinov 和他的同事们开发了一个计算机程序,该程序可以把密码植入人的潜意识——并且也能在潜意识中提取它们。这种技术可以使得例如一名高级政府特工无法泄露他的密码;特工实际上并不知道这个秘密代码。最终,潜意识密码的使用甚至可能普及到我们其他人。考虑到密码保护的不稳定状态,这可能越快越好。
“密码的问题在于它们很容易被破解,”安全公司 StrikeForce Technologies 的首席技术官 Ram Pemmaraju 说。破解密码的工具,例如恶意软件,很容易获得。新的处理器和开源软件可以在几天,如果不是几小时或几分钟内就能破解加密的密码。以一个包含大写和小写字母、数字和符号的七个字符的密码为例。五到十年前,一台普通计算机需要一千多年才能猜出它。如今的家用电脑大约一个月就能做到。由于计算机能力的增强,一些专家建议使用 20 到 30 个字符的密码。但是人的懒惰也是一个巨大的问题。谁想记住一个 30 个字符的密码?最近的一项研究发现,5% 的密码都是“password”的某种变体。
但是,如果一个人能够潜意识地学会一个密码,他就不必费心去记忆它了。他不会意外忘记它。而且他也不会把它写在便利贴上给别人看。这正是 Bojinov 这个夏天在享有盛誉的 USENIX 安全研讨会上构思的益处,他在那里展示了他的研究——这是首次表明人们可以潜意识地存储密码并从他们的脑海中提取它们。在实验中,参与者通过玩一个电脑游戏来学习密码。屏幕上,黑色的圆圈一个接一个地从顶部落到底部,有六列,分别标记为 S、D、F、J、K 和 L。当一个圆圈到达底部时,玩家输入对应于该列的字母。这个游戏,有近 4000 次按键,大约需要 30 到 45 分钟才能完成。玩家并不知道,但游戏包含一个密码——一个 30 个字母的序列,他们输入了 105 次。到玩家完成游戏时,他们已经足够熟悉这个密码,以至于觉得有点熟悉,但仍然无法识别它,更不用说背诵了。(平均而言,他们将密码的熟悉度评为 10 分中的 6 分,将随机密码评为 10 分中的 5 分。)
5% 的密码是“password”的某种变体。要使用这个密码,参与者玩了一个 5 到 10 分钟的游戏版本。这次,软件比较了他们输入实际密码的准确性与随机生成的 30 个字母序列的准确性。71% 的参与者在实际密码上的得分高于虚假密码。两周后玩游戏,61% 的人仍然这样做。
将来,人们可以像玩这个游戏一样,在早上登录他们的电脑。但 Bojinov 警告说,这项工作仍然是初步的。他表示,学习过程对于大多数人来说太耗时了,所以他目前正专注于完善针对高安全性情况的技术——那些 45 分钟的密码仪式是值得付出的努力的场景。他建议该系统可以作为一种二次身份验证形式,取代现在重置电子邮件帐户密码所需的安全问题。无论应用如何,Bojinov 说研究人员仍然需要回答关于这项技术的关键问题。他们如何才能让更多人使用它?什么方法能最快地加速这个过程?潜意识密码能持续多久?
这些问题的答案可能会为密码保护带来有趣的转折。数据保护公司 SafeNet 的首席技术官 Russell Dietz 说,目前的策略是保护系统免受人类的聪明才智和人类的失误。“你想证明某人是谁,同时消除薄弱环节——就是用户本身,”他说。但正如 Bojinov 的研究表明,人类的经验可能是其他任何人或计算机都无法伪造的东西。
