​密码问题:再信任一次微软的药方吗？

（文 / 尚进）

( 为商业用户进行硬件加密措施，成为了信息时代最暴利的数字保安行业 )

“请不要在使用中透露您的信用卡信息”，这是当今很多互联网应用软件和服务条款中反复重申的一项内容。因为没有任何加密的普通互联网数据流，每时每刻都可以轻易被截取，而那些网络安全专家们在媒体采访涉及网络安全的问题时，保准先给开出“勤换密码”这剂古老的药方，这就如同马三立相声中那句“挠挠”一样。

那么当今民用信息领域的密码技术到底安全吗？这是所有人最原始的疑问。这个问题如果你询问的是位数学家，那他保准会给你列出个方程式，按照理论几乎不存在无法破译的密码，多开一个次方只不过是拖延了破译的时间，而这个拖延的时间按照目前计算机的速度，将是几百年。而这个问题如果你询问的是位网络安全专家，那么他肯定会坦白地交代，目前银行普遍使用的256位级别加密，几乎不会出现安全问题，就算互联网上普遍使用的128位的密码手段也没问题，而实际上如何管理密码安全才是真正的危机，被别人偷看到密码比被破译要容易得多。

“每个用户要定期更换自己的邮箱密码”，这是电子邮件刚刚流行之初，各种探讨互联网的先锋媒体都试图提醒的话题。但面对各种版本的通讯软件，以及各自为战的论坛，要想定期更换密码，根本就是不可行的事情。《MIT技术观察》在2002年曾经发表过一篇论文，在作者的统计中82%的互联网用户根本就不更换密码，而且有27%的人始终是一套密码走天下。“当今个人信息体系密码是最大的问题缺口”，一年一度的欧洲密码年会几乎每次都在探讨这个话题，但却始终没有给出靠谱的解决之道。于是为商业用户进行硬件加密措施，成为了信息时代最暴利的数字保安行业。几乎所有的美国大公司职员在异地登陆公司网络系统，都要配备一个用来计算密码的电子历，就跟二战德军潜艇战中的恩格尼玛密电本一样要防止丢失。

实际上目前的电脑世界密码管理更依赖于1999年微软推出的.NET Passport安全级别身份管理系统，当初.NET战略推广Passport被比尔·盖茨视作世纪性安全保障，但是2003年这套系统就被黑客们找到了漏洞，微软的Trustworthy高级主管杰夫·琼斯试图大事化小，小事化了来解决这场安全危机，立马给.NET Passport牢牢地打上了补丁，但是此后攻击者对.NET Passport安全级别身份管理系统的破解尝试此起彼伏。正是基于对.NET Passport系统的不自信，让比尔·盖茨在2月初的RSA2006大会亮出了信息卡片(InfoCard)概念。“现在的密码方式也许还难以一夜之间退休，但对于企业级别的网络系统而言，三到四年内InfoCard将彻底改变现状”，这是比尔·盖茨演讲中最关键的说辞。这套号称取代密码的InfoCard，可以解释为安全策略的简化版本，微软试图允许用户集中管理各种认证和支付信息，按照盖茨的解释，InfoCard就如同放各种信用卡的钱包，不过前提是微软将代管很多关键信息，而不再是用户自己负责。

“还能信任微软附加给每台电脑的密码系统吗？”这是RSA2006大会开幕当天技术圈在BBS上的探讨，不仅仅是因为国际著名密码学家Rivest设计的MD5，以及电子商务界普遍使用的SHA-1密码算法都被破译，更是因为面对微软操作系统层出不穷的程序漏洞和满身补丁，这让所有人的信心都备受挫折。而微软操作系统和IE浏览器之下的无处不在，似乎注定在2006年底，谁也逃不过InfoCard的安全保护伞。所以在这套被描绘为未来保险夹的InfoCard背后，真正保护的是微软的摇钱树，谁也不希望下一代操作系统Windows Vista，以及微软用来继续控制互联网的独门利器IE7浏览器出安全问题。于是InfoCard成为了微软给使用者在密码问题上开的新药方，而这剂药方的技术实质依旧是数字密码系统，只不过从汤药变成了更容易让用户服用的水蜜丸。■