密碼已死？科學家致力發展替代技術 盼重建網路安全堡壘

【鉅亨網陳怡君 綜合報導】

雖然大家都知道，千忘萬忘，就是密碼不能忘，不過從各大網站都設有「忘記密碼」這個貼心欄位來看，牢記密碼還真不是件簡單的事；大家也明瞭，千說萬說，就是密碼不能隨便亂說，不過即使守口如瓶，帳號盜用的情形還是層出不窮。

倘若對著螢幕快速扭動五根手指，或者對著電腦說個簡單的詞組，就能聯繫自己和電腦，事情似乎就會變得簡單得多。

這兩個想法其實都並不瘋狂。《紐約時報》報導，紐約布魯克林電腦科學家 Nasir Memon 正在「訓練」他們的 iPad透過主人手指的親密接觸來辨識他們；銀行也已開始使用鑑別客戶聲音的軟體，來作為標準 PIN 碼的輔助驗證工具。

幾年來，「密碼」不斷被預測終會消亡，安全研究人員正逐步加快研發替代方案的腳步，以盡快宣判密碼死刑。

Memon 認為，當前最讓他覺得困擾的事情就是得建立 40 組不同的密碼，而且還得不定期變更。一定有不少人同意 Memon。數位時代大開方便之門，但密碼有如背上芒刺。它是開啟芝麻大門的關鍵鎖匙，它過去用來保衛個人網路安全，現在卻漏洞連連。

美國國防部正以個人的打字習癖，來做為持續驗證身分的方式；Google 最近開始推動兩步驟登入系統，也就是除了鍵入密碼，還得輸入 Google 傳送到使用者手機的驗證碼，才得開始使用帳號功能。Google 最新的 Android 手機軟體可以辨識主人的臉孔以解鎖，但倘若有心人士拿手機主人照片企圖騙過軟體，這種舉止還是防不勝防。

雖然不少開發人員著手研究取代密碼的方式，比爾蓋茲早在 2004 年就誇言：「密碼已死」，不過，捨棄密碼為時尚早。

微軟研究員 Cormac Herley 就跟老闆唱反調。Herley 指出，「密碼已死」的錯誤假設，對致力改善 20 億用戶帳密安全的研究無疑是一記重拳。Herley 認為程式開發者仍應將精力花在提升密碼安全性上，例如協助人們保護他們的無線網路連結，以防有心人士盜取。密碼，Herley 強調，難以取代，很多意圖宣判密碼無用的人都以失敗告終。

Memon 觸摸螢幕的方式之所以可行，在於手勢隨著個體不同而互異。他們的手指形狀相異、移動速度不一，所謂每個人都有自己獨特的「風格」。除了想達到無痛登入的目標，很多人排斥虹膜掃描等生物識別方式，也是開發這套系統的原因之一。

在他的研究中，最受歡迎的手勢就是受測者感到最直覺、最輕鬆的姿態。其中一位受測者喜歡以調整平板電腦螢幕上的圖像來解鎖，另外一個則選擇以在螢幕上簽名驗身。原則上，無論解開裝置、還是進入應用程式，都能以手勢解決。(接下頁)

[NT:PAGE=$]

密碼的弱點其實還是人類的記憶有限，而且保守秘密的能力堪慮。大部分人需要數十組密碼，有些人認為越複雜越安全，有些人著重越簡單越好記。近來，藉由散播惡意軟體或者引導用戶將密碼打在非法網站上，偷竊密碼對罪犯而言簡直是雕蟲小技。

每註冊一個網站可能就多一組帳號密碼要記，組合一多容易混淆實在惱人無比，Facebook 和 Twitter 整合數百萬個網站，用戶以單一帳密就得暢行網路世界，不過方便帶來隱憂，既然所有網站都被 Facebook 綁定，只要有人掌握某個用戶 Facebook 的登入資料，就可輕而易舉潛進其他網站竊取資料。

加州電腦企業家 Rachna Dhamija 試圖「打散密碼」來彌補這些缺陷。用戶首先登入 Dhamija 建立的伺服器《UsableLogin》，以他自己的部分密碼註冊。伺服器驗證用戶的裝置已經過授權，接著，從雲端取得第三部分的密碼，從而為每個用戶欲使用的網站產生一組獨一無二的密碼。換句話說，使用者擁有一部分的密碼，另外一部分儲存在其裝置上，最後還得加上雲端中的密碼才結合完成。

保護密碼的最佳方式就是使其支離破碎，有需要時再拼湊組合起來。Dhamija 的伺服器最近獲得 Webroot Software 收購。「你是在分散風險，密碼再也不是密不可分的整體。」

美國國防部高等研究計畫署 Darpa 邀集安全研究員發展定時辨識使用者的技術，憑藉使用者運用裝置時的習慣，譬如滑鼠移動軌跡、使用者書寫的習性等等以為辨認基礎。

這些技術在近年單憑密碼不足驗證網路身分的擔憂遽然升高下特別受到關注。想像它們是密碼的防禦堡壘：「password-plus」。

很多公司使用智慧卡（smart card）或安全「加密狗」（dongle，硬體中的小型插件），做為允許進入內部網路第二步驟的驗證。今日，生物識別技術則似乎越來越受矚目，有逐漸取代傳統驗證方式的趨勢。

美國至少一半以上的銀行，除了輸入 PIN 碼外，還要求他們的客戶背誦大約為時 2 秒的詞組以驗明正身，例如「at my bank」。當然，數百萬用戶可能有志一同選擇同樣的詞語，因此每個人獨特的聲調表情成了電腦辨識的關鍵。

手機已是全球人類不離身的必需品，它們也漸漸成為驗證身分的工具。Google 去年年初的兩步驟登入系統登場，此系統傳送 6 個數字的驗證碼至使用者的　手機應用程式，使用者將之與原有密碼輸入電腦，才能登入自己的 Google 帳號。當然，這組驗證碼也能以文字簡訊或語音方式傳送給持普通手機的用戶。

第三個步驟並非強制，Google 也拒絕透露這項額外步驟的使用率有多廣泛，不過隨著密碼被竊取的情況越來越頻繁，Google 表示，透過其它管道來驗明使用者身分的方式不容忽視，在這個案例中，手機扮演密碼的輔助角色。