密码无须处处有
在一个被各种荒唐的安全政策所淹没的世界里,很高兴还能看到几座理智的岛屿。
撰文戴维·波格(David Pogue)
安全很重要,但搞清楚安全的动机并在安全性与便利性之间做出取舍也同等重要。
大家好像都没怎么琢磨过密码这东西。毕竟,密码的用途挺显而易见的,不是吗?你需要给银行账户设个密码,好让别人用不了你的钱。你需要给电子邮箱设个密码,好让无关人士无从获知你的内部资讯。
不过让我惊诧的是:女儿告诉我,她们学校刚制定了一项新的安全措施。该校学生今后所设的密码,最短必须为8个字符,其中必须同时包含字母、数字和标点符号,且不得出现任何一个英语单词的拼写组合。系统还要求学生每30天就得重设一组新密码。
你能猜到这组密码是用来保护什么内容的吗?给小学五年级学生下载家庭作业的网页。
没错。以上所有的不便和麻烦,都是为了确保学生们这星期的阅读书目不会被某个变态狂看见。
接着是我最近合作过的一家影视制作公司,他们雇用了一名新的技术人员。此人入职后干的头一件事,就是声称公司的现有网络并不安全。他规定今后将不再由公司员工自行设定密码,而是由他提供。新密码长达12个字符,由英文字母随机组合而成,并且每个月都要更换。他还屏蔽了聊天软件、电邮附件和YouTube。
那么这家制作公司变得更安全了吗?这还真不好说。他们还没碰到过任何黑客入侵事件——当然,在这以前他们也从来没碰到过。不过变化还是有的。如今,他们的员工都在手机上看YouTube网站的影片,用Gmail获取附件,在即时贴上记下自己那串背都没法背的密码并贴到电脑显示器上。劳苦功高啊,安全哥。
当然,我要说的是:安全很重要,但搞清楚安全的动机并在安全性与便利性之间做出取舍也同等重要。那些无关紧要、不具危害性的单位机构,有时被当成诺克斯堡(美国的国家金库所在地)一样严防死守,到头来挨整的不是别人,反而是他们的合法用户。而另外那些单位机构,像索尼、花旗银行、洛克希德·马丁公司,又显然防范得不够(就在2011年春天,这几家的计算机系统都遭到了非法入侵)。
其实还是可以设计出一套兼顾安全性与便利性的系统的,只要你有些脑子。比方说,你如果以奥米尼酒店“特许宾客”常住计划会员的身份在他们那里订了个房间,只要直接前往酒店柜台说出你的名字便可登记入祝他们会把房间钥匙交给你,并对你说:“晚上好,XXX。祝您住宿愉快。”
他们不会要求你出示身份证。他们不会说:“请让我登记一下您的信用卡,以便结算额外费用。”他们不会在电脑键盘上敲上5分钟。他们不会问你任何问题。没有任何形式的审核。他们只是为你准备好房间钥匙,然后直接交给你。
他们怎么能用这么松懈的安全措施蒙混过关?难道就不会有什么坏人假扮成你冒领钥匙,爬上本属于你的酒店房间内的大床?
在奥米尼酒店简捷入住服务的历史上,从来没有发生过类似的状况。原因何在?因为坏人并不认识你,并不知道你在酒店订了个房间。就算你真的发现有人占用了你的房间,只需出示一下身份证,所有问题便迎刃而解。
我还可以再举一个例子:你在苹果的在线Mac应用程序商店购入一个程序后,该程序将自动下载并安装到你的Mac系统里。系统不会提示你输入系统密码,你无须点击任何安装窗口,没有任何有关软件下载自互联网的警报。
难道苹果不更应该为安全性担忧吗?不需要,因为他们是动过脑子的。交易的双方均处于他们的控制之下。他们并不担忧病毒和恶意软件的存在,因为这是由他们自己提供的软件。他们也没有必要询问你是否想要安装软件——你当然要装。(不然你买它干什么?)
换句话说,无论你是管理员、设计人员还是消费者,都值得考量一下安全性与便利性的取舍问题。密码有其用武之地,但不是随时随地。(翻译薄锦)
