觀點

密碼一團亂

2009 / 07 / 09
JAY G. HEISER 譯 ■ 左恩燦
密碼一團亂
安全模型要求我們必須記住多重密碼,而且登錄帳號必須更改。

  我已經忘記之前的密碼了,但最近的狀況是我連帳號都忘了。我有一組登錄在記事本的密碼,不過我不知道那是給哪個帳號或系統使用的。幸好,我謹慎地記錄另外175組的登錄帳號與密碼。

  我可能比大部分的人擁有更多的登錄帳號,但也不是那麼與眾不同。現在的網站以帳號註冊數量作為競爭。網路業者在不強迫你開立一個新帳戶的狀況下就允許交易,是極為少見的。「在雲端」的應用程式,像是電子郵件、Google Docs線上辦公室應用軟體,或是社群網站等,無不要求一個唯一的帳號。我已經申請了Yahoo、eBay、Amazon電子商務網站、P a y P a l線上交易公司、Flickr線上儲存服務與社群服務、Facebook與LinkedIn社群網站、4個E-mail帳號、我個人網站的多個系統管理者帳號,以及超過15個與我工作相關的帳號等。

  那不僅僅是密碼的問題;要維持密碼的唯一性即意味著,和工作相關的帳號需要有8個不同的名稱,而非工作相關的帳號則至少需要一打以上的名稱。真是瘋狂!哪一種愚蠢的安全模型,會希望有人能記住175組不同的密碼與登入帳號呢?

  然而,大部分的人不會去為每一個帳號設想一個唯一獨特的密碼。無可否認,你的密碼有多隨機複雜也沒有用,萬一它被在你的工作站或是伺服器上的惡意程式吞噬的話。有好多年,我對於自己把加密的密碼清單儲存在Palm PDA這件事,感到相當滿意,但是每當我更新無線裝置時,就必須去找某個軟體,然後再將清單全部鍵入一次。我寧願讓我的瀏覽器去記住那些密碼便了得,不過,假如我要從不同的電腦登入的話,那我手邊就更不可能有正確的密碼了。同時,也會讓入侵者更容易找到那些密碼。

  相對於提供一大堆無止盡、又無法拋諸腦後的登錄帳號來講,最近有一個使用電子郵件地址作為登入帳號的新方式,的確是對狀況有點幫助。當你忘記密碼,或者就是行不通時,通常你只要點個小按鈕,就會有個新的登入密碼寄給你。但是,就像網路地址轉換(NAT, Network Address Translation)暫時減緩了IPv4位址日益匱乏的壓力;利用電子郵件地址作為帳戶名稱的方式,也無法抵抗共享身分識別計畫,即允許在不同網站中皆使用同一身分與驗證機制,所必經的過渡期。

  我算是微軟Passport單一登入系統很早期的使用者,現在幾乎已經沒人在使用了。沒有了微軟的包袱,或許OpenID身分認證系統能成為範例轉移的標準,除非像是Yahoo與WordPress那些大型網站,開始願意接受來自其他網域的登錄帳號,一如它們自詡為身分識別的供應者。我尤其是無法信任,國家政府成為強大身分的唯一來源,但是科幻小說作者CharlesStross認為,格林威治標準時間與身分保護,是政府唯一適當且必要性的服務(至少在他Faster-than-Light與Multi-Planet Universe的創作中曾經提及)。

  我的分析師朋友在這個議題上花了許多時間,他們說,我們應該期待多樣化類型的網路身分識別供應者,諸如商業、政府部門,以及非營利性質等類型。他們明白會有很多預期外枝枝節節的問題,不過他們也漸漸地贊成共享身分識別供應者的概念。我想一開始會有很多的謬誤,以及一些不幸的駭客事件發生,但是如果能對目前發展有助益的話,我是那隻願意被試驗的白老鼠。我已經準備好追隨馬克.吐溫筆下的人物笨瓜威爾森 (Pudd''nhead Wilson)那樣,把所有的雞蛋都放到同一籃子裡,然後緊盯著那籃子。

Jay G. Heiser 是Gartner研究機構駐倫敦的研究副總裁。