关于支持科学新闻
如果您喜欢这篇文章,请考虑通过以下方式支持我们屡获殊荣的新闻报道 订阅。通过购买订阅,您正在帮助确保有关塑造当今世界发现和想法的有影响力的故事的未来。
密码一直是我们向众多已成为日常生活中不可或缺的网站和应用程序证明身份的主要方式。尽管多年来一直有预测说,密码最终会被淘汰,转而采用更安全的身份验证方法(如生物识别),但它们仍然存在,因为它们成本低廉,并且仍然是安全性和可用性之间较好的折衷方案之一。
管理数十个密码甚至比一开始就想出好的密码更具挑战性。常识在选择密码时提供一些指导:密码应该是字母数字组合,家人或朋友无法在五次尝试中猜出,并且它应该足够复杂,以至于人们无法通过看你输入一次就猜出来。完成之后,现在你只需要记住哪个密码可以让你登录哪个网站或应用程序。
卡内基梅隆大学的一组计算机科学家正在研究采用记忆技巧和助记设备来帮助解决我们的密码难题的可能性。他们的计划受到约书亚·福尔 2011 年出版的《与爱因斯坦月球漫步》一书中描述的人-动作-对象 (PAO) 方法的启发,包括生成强密码和将它们记入脑海的时间表。
研究人员提出的“共享提示”系统(pdf)要求你首先选择一个有趣地方的图像(例如,棒球场)以及一张熟悉或名人的照片(比如比尔·盖茨)。首席研究员杰里迈亚·布洛基说,然后你会想象一些随机的动作以及一个随机的对象来创建一个PAO故事。布洛基建议,“比尔·盖茨在棒球场上吞下一辆自行车。”
在为几个不同的图像对创建并记住故事后,你将使用这些故事来生成唯一的密码。在布洛基的示例中,你可能会从“吞下”和“自行车”中提取前三个字母,这样你就将盖茨和棒球场的图像对与“swabik”相关联。将几个图像对串在一起,你就会得到一个相当难以理解的密码。布洛基说,如果你可以记住九个句子,该系统可以为 126 个帐户生成不同的密码。
以下是共享提示在实践中的工作方式:你会在浏览器中安装一个由布洛基及其团队开发的应用程序,每当你访问登录屏幕时,该应用程序都会向你呈现四个图像对。(该应用程序的移动版本的工作方式相同。)你识别每个图像对,并记住与每个图像对相关的故事,输入你的密码。不同网站的登录屏幕将呈现你记住的九个故事中的四个故事的不同子集。
如果这一切听起来很费劲,那确实如此。但是,该应用程序的移动版本将充当教练,帮助你理清思路。它将使用手机或平板电脑的通知系统定期随机向你呈现图像对,以便你为这些图片创建的故事在你的记忆中保持新鲜。许多认知和教育心理学家都认为,频繁的测验是激活和搜索长期记忆的非常有效的方法。“从可用性的角度来看,这种做法很棒——它可以最大限度地减少你必须记住的单词数量,并为你提供更自然的排练,而这才是更重要的因素,”布洛基说。
正如卡内基梅隆大学的研究人员指出的那样,密码可以提供的安全级别取决于用户在创建和管理密码方面所付出的努力。当然,在多个网站上简单地重复使用密码是密码管理最简单的方法,但这会带来最近从 Adobe 窃取数千万用户名和密码所突出的问题。考虑到猜测给定帐户的用户名是多么容易(通常是他们的电子邮件地址),窃贼要访问由相同的用户名和密码保护的其他帐户有多难?甚至 Adobe 也承认人们经常重复使用密码,并建议其客户在任何共享与被盗 Adobe 帐户相同的用户 ID 和密码的网站上更改其密码。
复杂密码程序的另一个障碍是,每当密码回忆仍然难以捉摸时,都会诱惑人们简单地使用大多数网站上提供的重置功能。但是,密码重置会造成安全漏洞。安全专家赫伯特·汤普森 2008 年在《大众科学》上发表的一篇文章解释说,某人如何轻松地在网络上搜索他们偷偷重置密码并访问你的电子邮件、Facebook、Twitter 和许多其他帐户所需的所有信息。