几个月前的某一天,隶属于美国财政部税务行政督察长(Treasury Inspector General for Tax Administration, 简称Tigta)的官员打通了美国国税局(Internal Revenue Service) 102名职员的电话。他们自称是服务台的人员,并以修复网络为名,要国税局的职员提供用户名,并根据前者的建议更改密码。除了41人外,其他人都按照要求做了,这些人就这样轻易地将自己电脑中的信息置于电话那一头的陌生人掌控下。 看起来这不过是一次孤立的事件。但要知道Tigta在2001年和2004年也曾进行过类似的调查,而结果都一样。这两次调查都致使国税局进行“整改”,然而Tigta在最近这次调查后提交的报告中用了句冷冰冰的话来形容整改,那就是:“没有效果”。
我们能从这件事中汲取什么教训?首先,国税局的员工比我们想像的更容易受骗,如果你是美国人,那下次报税时也许你该记住这一点。其次,你的纳税数据明显不安全,国税局的人可以轻易的将这些信息交给电话中的陌生人,因此不要在税单上填写任何你不愿意让很多人知道的信息。第三点也是最重要的一点是,密码从来都不是真正安全的。 以下是如何尽可能的确保密码安全的一些建议。 最好的办法就是记住密码。听起来这并不难,记忆功能无时无刻都在进行,只不过我们并不经常有目的地进行记忆。上一次我建议使用一些对自己有意义的词语(或是句子,道理一样,只不过长一些)来作为密码,那可以是自己喜欢的电影中的一句话,也可以是自己喜欢的足球队的后卫。其实还有其他的技巧。都柏林圣三一大学(Trinity College)心理学教授伊恩•罗伯逊(Ian Robertson)建议想像与单词发音相似的物品图形来记住数字,例如门与8,鞋子与2。这样在记住82这个数字时,所要做的就是联想一扇门上有双鞋的画面。 我本人倒是喜欢他的另一项建议,就是用开头字母与密码中每个字母相同的单词来造句。我在学校上音乐课时,就用“大不列颠不惧美国”这样的句子来记住五线谱上的音调。事隔数十年后我依然能记得这些,正如我还能记得所有押韵的拉丁前期置词一样。这些都是设置密码的好参考。但最重要的的一点是,用愤青式的口号或是押韵的句子,是记住一些不想落于纸面的东西的好办法。 将密码记下来并不全是坏事。我最近就发现,一直提倡不把密码记下来的观点明显不流行了。重要的是把密码记在哪里。运营passwordresearch.com的密码顾布鲁斯•马歇尔(Bruce Marshall)称,虽然还有争议,但我建议把密码记下来。如果是每天要用的密码,就记在纸条放钱包里,但不要写上任何可能暴露此密码用途的信息或是用户名。英国纽卡斯尔大学(University of Newcastle)的Jeff Yan也赞同此建议。但他提醒不要将银行卡的个人身份号(Personal Identification Number, 简称PIN码)记在卡上。如果将PIN码记在卡上或是与银行卡都放在钱包里,后果会很严重。 这在网上也是一样。不要把密码记在使用的地方附近。例如不要将网上银行的密码记在电脑里或者是靠近电脑的地方(如果非得要记下来,那就夹在某本你喜欢的书中或是放进袜子柜)。如果不是那么重要的网络密码,可以用软件来存放。一种办法使用密码管理软件,它即可以管理网络密码又可以管理其他设备的密码。第二种办法是使用安装有相同功能软件的USB闪存。你也可以让浏览器自己来保存密码,但要小心的是,许多浏览器在默认状态不会把密码加密,这意味着任何人使用你的浏览器都可以轻易获取这些密码。 请牢记,所有的密码都是可能泄漏你个人信息的一扇后门。例如你在各个网站可能设置了一大堆的密码,但电子邮箱的密码却很简单。如果一位黑客找到进入你邮箱的办法,想想里面储存的密码会有多少被他窃取。又或者你用密码管理软件,所有密码的安全都取决于那条主密码不会被坏人窃取,那你最好就要多注意了。用USB闪存固然有它的好处,便于你随身携带所有密码,但如果它丢了怎么办?那结果是密码落到别人手里,而你自己却没有了。一部分USB密匙设备,如加利福尼亚州IronKey公司的IronKey密匙(公司网站www.ironkey.com上买每件售价80美元)就有办法解决。该公司首席执行长戴夫•杰文斯(Dave Jevans)称,一种办法是,当密匙的主密码被错误输入10次后,里面储存的密码将自动销毁;第二种办法是可以在网上备份密码。 虽然这两种办法还不赖,但要把真正重要的密码托付给它,我还是持谨慎态度。在安全问题上有这样一条真理,最薄弱环节的安全程度决定了一切,然而这条真理又要受到另一条的制约,那就是最薄弱的往往是人本身。雅加达一位通晓社交工程窍门的安全顾问安东尼•佐拉斯基(Anthony Zboralski)表示,他知道有系统管理员或网站和公司网络管理员习惯性的收集用户密码并用于入侵用户的其他帐户。佐拉斯基的建议是,不要轻信任何人,要定期更换密码。并且不要重复使用已用过的密码,因为管理员是不可靠的。否则的话,想想国税局就知道了。 你害怕了?那是应该的。当你在网上冲浪时,并不意味着你不用担心数字世界中那些心怀叵测的邻居们,在这些人的面前,密码是你唯一的保护伞。所以请保护好你的密码。 Jeremy Wagstaff(编者按:本文作者Jeremy Wagstaff是《华尔街日报》科技专栏“Loose Wire”的专栏作家,栏目内容涉及科技产品、电脑、软件等相关领域。) |