FreeOZ论坛

标题: 被密码绑架的时代 [打印本页]

作者: 欧阳京 时间: 16-6-2020 17:02
标题: 被密码绑架的时代
本帖最后由欧阳京于 16-6-2020 23:57 编辑

这是辉煌的时代，这是黑暗的时代；这是浮躁的时代，这是沉沦的时代；这是大胆创新的时代，这是怯懦迟疑的时代；这是狂飙突进的时代，这是腐化堕落的时代；这是信仰的时代，这是怀疑的时代。

总而言之，这是一个被密码绑架的网络时代。

网络时代，一个人至少需要三个密码才能生存：银行卡密码、电脑密码、邮件密码。而我粗粗统计了一下自己的密码，邮箱、银行、论坛、博客、购物网站、公司门禁、办公系统，等等，数量达几百个。

以前在北电的时候有一个同事，他有一个专门的密码文件，保管公司各个系统、私人的各个应用的密码。显然，为了保护他这个关键的密码文件，他又反讽地需要另一个密码.....

有些大公司，例如我工作过的Telstra，他们为了融合所有的系统提供一次登陆的方便，使用目录服务软件，从此，用一个密码你就可以登录各种系统，让人长嘘一口气。然而还是有不少不支持目录服务的系统，还是要让人费心费力去记住那个必须含大写、数字、特殊字符的古怪组合。

密码，作为钥匙在电子化时代的代替物，已经越来越成为生活中不可缺少的东西。当你要把一些个东西据为己有的时候，古代的做法大概是装进箱子，然后再上把锁，然而庄子《胠箧》篇说：“将为胠箧探囊发匮之盗而为守备，则必摄缄腾，固扃鐍，此世俗之所谓知也。然而巨盗至，则负匮揭箧担囊而趋，唯恐缄腾扃鐍之不固也。”译成大白话，就是，别看你箱子锁得牢，防小贼可以，大盗来了，你的箱子越牢固，锁得越稳当，他搬走越方便。

当今这个时代则又更简便了，别看你钱都稳稳妥妥存在银行里，然后捏造出一个暴力破解几百年也搞不定的密码，自诩万无一失。忽一日黑客来临，入侵银行数据库系统，把你们辛辛苦苦一辈子的积蓄，用一个小小的程序便全部划走。比之庄子笔下的“探囊发匱”、甚至“负匱担囊而趋”又高出一筹，唯恐你不信任密码系统，不把钱悉数存入银行。

可见，私有财产的安全唯有在大家都是谦谦君子的时候才管用，所谓防君子不防小人。你天天计算钱粮开销，省吃俭用，积攒下一大块土地，一大笔私有财产，哪天雅各宾派或者是共产主义者来了，暴力“破解”你了的“密码”，担囊而趋公有化之，你越是地大有钱他们越是喜不自胜。

显然，公有制是卸除你人生负担的一个良方，“钱是招牌地是累"，此古训在中国上个世纪50年公有化改造期间让很多人付出了生命的代价。如果真能彻底消除私有制，一切公有共享。粮米布帛，不再需要大且坚固的箱子来装；金银财宝，也不用精巧复杂的保险柜来锁。按需分配，“要什么就是什么，欢喜谁就是谁。”这种活法谁能不心向往之？

不过公有化之后唯一的问题，就在一个字上了----信。没有信任就没有合作的基础。没有合作，所谓爱、友谊blah、blah，都是扯淡。（富兰克林说：没有意愿的力量、没有力量的友谊、没有友谊的关系，屁都不值。relation without friendship, friendship without power, power without will, are not worth a farto...）

所谓不患寡而患不均也就是这个意思。少点不要紧，如果没有人相信大家会一样少，问题就来了。雨果说，共产主义解决了分配的问题，解决不了生产的问题。按需分配听起来不错，但是大家谁来创造，谁来生产呢？上个世纪吃大锅饭把国家吃穷，最后饿死几千万，就是有公有的制度安排而没有公有的信心基础。“我不吃反正别人会吃。”“我去干活别人不干怎么办？”

社会如此，家庭也难逃巢臼。

记得以前有个朋友对我说，如今这个年头啊，谁也无法相信只有相信自己，包括妻子。言下拳拳之意，大有“夫妻本是同林鸟，大难临头各自飞”的凄凄然。

我听了心里不免错愕。夫妻理所当然是要患难与共。西方结婚仪式上，男女总要按着圣经起誓，“无论你富贵穷达疾病健康，都彼此相爱、珍惜，直到死亡。”从如今的离婚率看来，这虽然有点假模假式了。但是用心是好的。夫妻本来应该彼此相爱珍惜、患难与共，直到不能相爱珍惜、患难与共为止。只是有些人爱情比较专一，勇往直前，非肉体死亡不能停住，而另一些人，爱情一旦死亡立即拔腿就跑。仔细想来也实在不好对其妄加指责，后者不过把精神死亡看得比肉体死亡更严重罢了。

不过，无论如何，只要还是夫妻，心头总存着那种关键时候撒腿就跑的疑惧之心，不免自受其缚。如果一开始就没有打定主意白头偕老，睁大眼睛，小心防备，随时准备毁约，或者随时准备对方毁约，那又何必当初结合呢？婚姻不是合作经营或者买卖合同，没有彻底的信任和依靠，难免会让生活增添不少负担。

我对TA说，其实信任一个人，不但可以让这种因为疑惧带来的烦恼消失，因为信任有传染性，也会换来对方的信任。而无条件地信任是幸福的开始。朋友说那你这不是盲信吗？我必须要弄懂对方值得信任，而且对方也信任我，我才能够放心。

显然，逻辑的死结又死皮赖脸地出现了----除非我知道对方值得信任，我才信任对方。这句话，就是当今人类感情最无解的地方----除非你爱我我才爱你；除非你永远爱我我才永远爱你。而人从来就是不可靠的，你今天懂得他明天未必就再懂得。今天他说爱你明天也许就爱上别人。如果你说，除非我完全懂你才能信任你。无疑是说，我无法信任你因为我永远也无法完全懂你。

要完全懂而信而爱，那么你只能去相信去爱一个死人，而不是一个活蹦乱跳的、脑电波以亿万次秒运动、因为随时会变的人，包括你自己。

信任一个人，为的不是信任带来的结果，而是为了“信任”本身这个东西带来的美感和安全感。我非常喜欢人物--狄更斯《荒凉山庄》的女主角Esther，因为被信任，一大串钥匙（相当于今天的密码了）交到手中，让她对自己不幸的一生重新充满了信心和喜悦。退一万步说，万一你所信任的人，例如说你的配偶最后背叛了你，林惊鸟飞，除了你本来就在不断流逝的、充满疑惑、充满恐惧的生命以往，你又失去了什么别的呢？

英谚说：“予人玫瑰，手有余香”，信任比玫瑰更高贵更馨香，信任他人是人生中最有价值的一件事情。虽然信任象所有的给予一样都是单向度的。但是它给人带来幸福、喜悦和平安，却是双向的。

作者: kevin妈妈 时间: 17-6-2020 10:13
我最讨厌记密码，很多密码我都记不住，很快就忘记了。

作者: kevin妈妈 时间: 17-6-2020 10:33
有不少人是这样的观点：你要先对我好，我才对你好。
先得到，才肯付出。
我倒是相反，看我的签名。

签名其实没写全，还有就是：得之我幸，失之我命。
因为付出不一定就会得到结果。整个过程对我来说，也是一种得到。

作者: 欧阳京 时间: 17-6-2020 10:58

kevin妈妈发表于 17-6-2020 09:33
有不少人是这样的观点：你要先对我好，我才对你好。
先得到，才肯付出。
我倒是相反，看我的签名。

那您真是难得。对，一个过程，才是我们一生的全部。因为结所有得到的东西，最后都要还回去。

这也是本文的意思。当然，我的本来意思，在结尾删除了，等我确定，再把它改回去。

作者: kevin妈妈 时间: 17-6-2020 11:49

欧阳京发表于 17-6-2020 09:58
那您真是难得。对，一个过程，才是我们一生的全部。因为结所有得到的东西，最后都要还回去。

这也是本 ...

很多人更在意的是结果，当然，结果如果是完美的，那固然好。但世事并不都能如意，不是说我付出时间做这件事，就一定能成功；也不是说付出感情去给一个人，就一定能换来相同的感情。对我来说，付出的这个过程，不论是对事还是对人，都是很重要的，这个过程让我懂得很多，而且让我拥有了经历，而无数的经历，才让我的生活更多姿多彩，更完整。

作者: 欧阳京 时间: 17-6-2020 13:39

kevin妈妈发表于 17-6-2020 10:49
很多人更在意的是结果，当然，结果如果是完美的，那固然好。但世事并不都能如意，不是说我付出时间做这件 ...

说的真好。您的付出一定会有收获的。

严肃地对待生活的，
生活必严肃地回答你，
轻浮地对待世界的，
世界必将同样回报你。

作者: Serin 时间: 17-6-2020 15:04
https://keepass.info/

看怎么理解，Key-Pass或者Keep-Ass，反正密码对两者都有紧密的联系。

作者: QWERTYASDFG 时间: 17-6-2020 17:00
非常厌恶密码。每天浪费在密码上的时间，日积月累起来简直是浪费生命。在大数据的环境下，其实是可以取消密码的。网络把各种需要密码的环境分成等级，低等级的不用密码。比如网页，论坛等为什么要密码呢？中等级的比如各种邮箱，会员，社交应用等，可以比较用户的一些习惯来确认，自动归纳用户的十种使用习惯。符合2-3种就可以确认。高级的必然银行，个人身份等等可以比较更多的使用习惯或者手机验证等。反正就是不要密码就对了

作者: Serin 时间: 17-6-2020 17:35

QWERTYASDFG 发表于 17-6-2020 16:00
非常厌恶密码。每天浪费在密码上的时间，日积月累起来简直是浪费生命。在大数据的环境下，其实是可以取消密 ...

与其让每个网站掌握你的使用习惯和生物信息，还不如用密码保险。有各种工具可以帮助你储存密码和自动输入。

作者: 欧阳京 时间: 17-6-2020 22:21

Serin 发表于 17-6-2020 16:35
与其让每个网站掌握你的使用习惯和生物信息，还不如用密码保险。有各种工具可以帮助你储存密码和自动输入 ...

我觉得用google或者facebook 账号绑定是个不错的选择。

作者: Serin 时间: 18-6-2020 11:01

欧阳京发表于 17-6-2020 21:21
我觉得用google或者facebook 账号绑定是个不错的选择。

我几乎不绑定。我用每个网站都只是一个特定的目的，除此以外不想让它们获得更多我的信息。另外我也没有Facebook ID。

作者: 欧阳京 时间: 18-6-2020 16:37
本帖最后由欧阳京于 18-6-2020 15:39 编辑

Serin 发表于 18-6-2020 10:01
我几乎不绑定。我用每个网站都只是一个特定的目的，除此以外不想让它们获得更多我的信息。另外我也没有Fa ...

Google account我必须要的。很多东西，如email，keep，photo都用。如果google都不值得信赖，那我觉得没有什么可信了的。
一个论坛，还是应该多考虑用户需要什么。

作者: Serin 时间: 18-6-2020 18:48

欧阳京发表于 18-6-2020 15:37
Google account我必须要的。很多东西，如email，keep，photo都用。如果google都不值得信赖，那我觉得没 ...

谷歌现在已经不是当年坚信不作恶的谷歌了。毕竟有想法的创始人已经退休放手了，现在这个CEO劈柴坏事干了不少了。我现在挺后悔和谷歌账号绑得太紧了，教训就是不能把小公司初创时期的理想太当回事，以后所有商业公司我都会保持警惕。

作者: 欧阳京 时间: 19-6-2020 13:20

Serin 发表于 18-6-2020 17:48
谷歌现在已经不是当年坚信不作恶的谷歌了。毕竟有想法的创始人已经退休放手了，现在这个CEO劈柴坏事干了 ...

这就回到文章的本意了。人到底是无法信任别人，总要确定别人值得信任才行。
这无疑就是给自己戴上疑惧的手铐。

作者: Serin 时间: 20-6-2020 14:44

欧阳京发表于 19-6-2020 12:20
这就回到文章的本意了。人到底是无法信任别人，总要确定别人值得信任才行。
这无疑就是给自己戴上疑惧的 ...

对个人的信任和对商业组织的信任是两个完全不同的概念。商业组织不应该被赋予拟人化的情感，或者就把它们想象成商业活动中最理性和最冷静的参与者更好。规模越大就越理性冷静。

作者: 欧阳京 时间: 20-6-2020 20:53
本帖最后由欧阳京于 20-6-2020 19:54 编辑

Serin 发表于 20-6-2020 13:44
对个人的信任和对商业组织的信任是两个完全不同的概念。商业组织不应该被赋予拟人化的情感，或者就把它们 ...

那就是博弈论了。越大的公司，别人越放心和它做生意，也就是说信任它。

博弈论也是以心理学为基础的。信任一个人基于情感，信任一个公司基于理智。

（所以当我们读简奥斯丁的《理智与情感》的时候，就知道她是在讲一个非常人性的故事。）

作者: Serin 时间: 21-6-2020 10:40

欧阳京发表于 20-6-2020 19:53
那就是博弈论了。越大的公司，别人越放心和它做生意，也就是说信任它。

博弈论也是以心理学为基础的 ...

对普通用户而言，购买和使用大公司的服务是一回事，给她分享多少个人信息是另一回事。

作者: 欧阳京 时间: 22-6-2020 00:42

Serin 发表于 21-6-2020 09:40
对普通用户而言，购买和使用大公司的服务是一回事，给她分享多少个人信息是另一回事。

google的话，我们用它的email就有一个帐号，无非一个密码。分享不多。这个帐号可以用来登录其他网站。

作者: 妮南 时间: 22-6-2020 11:31
我现在不经常修改密码，因为变得渐忘了。我的想法是：若有人能有本事盗用你的密码，再修改也没用。若别人不想偷你的账号，你就是告诉对方密码也被扔在一边。

作者: QWERTYASDFG 时间: 22-6-2020 19:13

Serin 发表于 17-6-2020 16:35
与其让每个网站掌握你的使用习惯和生物信息，还不如用密码保险。有各种工具可以帮助你储存密码和自动输入 ...

在大数据的时代里，密码其实已经没有多少意义。就算谷歌现在还使用密码，但是你用不同的设备登录或者不同的IP登录，都会有警告发送到你其他登录过的设备上让你确认。再比如微信，头条，淘宝，youtube这类只要你登录过的网站都会自动记录你的喜好，随时推送符合你兴趣的相关内容。我设想是有一家公司可以自动收集个人生物信息，而所有网站的密码都换成从这家数据库里自动比对并给出评分。符合分数要求的就自动进入，否则要求比如手机回复验证码，或者相关社交账号。这些网站也随时随地更新个人数据。
试想全世界每个需要输入密码的人。每天花在输入密码的时间加起来，就是一个非常可观的浪费。需要在安全和效益上取得一个合理的平衡

作者: lummar 时间: 22-6-2020 20:19
主要是基础设施跟不上，要是所有的网站应用都支持OpenPG之类的PKI应用，其实每个人只需要一个硬件Token加一个密码即可，而且密码可以非常简单，因为那个密码只用来解锁Token上的私钥，只需要连续三次输错，Token自动锁死。

还有一个问题就是成本偏高，YubiKey4我从美国海淘过来40USD，本地基本80AUD以上

作者: lummar 时间: 22-6-2020 20:20

kevin妈妈发表于 17-6-2020 09:13
我最讨厌记密码，很多密码我都记不住，很快就忘记了。

不只如此，现在到处是各种莫名奇妙的而且不统一的密码策略，每次都让人抓狂。

作者: lummar 时间: 22-6-2020 20:23

Serin 发表于 18-6-2020 17:48
谷歌现在已经不是当年坚信不作恶的谷歌了。毕竟有想法的创始人已经退休放手了，现在这个CEO劈柴坏事干了 ...

我从头到尾都没怎么跟谷歌绑定，主要是因为谷歌莫名奇妙的自信或者说自负。
我是gmail第一批邀请的beta用户，然而从注册第一天起就开始收到垃圾邮件，投诉过几次，别人就是不肯提供拒收功能。。。

作者: lummar 时间: 22-6-2020 20:28

欧阳京发表于 18-6-2020 15:37
Google account我必须要的。很多东西，如email，keep，photo都用。如果google都不值得信赖，那我觉得没 ...

跟你想的恰恰相反，google是最不值得信任的组织之一，类似的Facebook也一样。
因为Google不是搜索公司，而是广告公司。

作者: 欧阳京 时间: 22-6-2020 22:35

lummar 发表于 22-6-2020 19:28
跟你想的恰恰相反，google是最不值得信任的组织之一，类似的Facebook也一样。
因为Google不是搜索公司， ...

那我们天天还用不用google map和gmail，google home，google search呢？

作者: kevin妈妈 时间: 23-6-2020 09:41

lummar 发表于 22-6-2020 19:20
不只如此，现在到处是各种莫名奇妙的而且不统一的密码策略，每次都让人抓狂。

我很佩服能够记住各种密码的人，换做要我记这么多密码，早疯掉了

想一想《最强大脑》里的那些牛人，那记忆力，简直无法想像

作者: lummar 时间: 26-6-2020 12:44

欧阳京发表于 22-6-2020 21:35
那我们天天还用不用google map和gmail，google home，google search呢？

能不用尽量不用。前一段时间偶然间看了下Google账户里面的location history，好多地方我是想了好久才记起来是什么时候去过的。。。

赶紧关了所有的记录选项。。。

现在只有search还有很好的替代品，其它的google服务，我基本都淡出了

作者: lummar 时间: 26-6-2020 12:45

kevin妈妈发表于 23-6-2020 08:41
我很佩服能够记住各种密码的人，换做要我记这么多密码，早疯掉了
想一想《最强大脑》里的那些牛人， ...

密码就是反人性的

作者: kevin妈妈 时间: 26-6-2020 17:40

lummar 发表于 26-6-2020 11:45
密码就是反人性的

哈哈

作者: 行者之心 时间: 25-8-2020 20:42
本帖最后由行者之心于 25-8-2020 19:45 编辑

我以前一个手机不用了，放了半年，后来想到里面还有些照片要导出来，但是怎么也想不起密码。只是一个简单的六位数。试验了很多组合，每试验错误一次要等待加倍时间，最后已经需要等待数天才可以再试新数字组合，看来有生之年是试探不出来了。如果有人愿意尝试，估计这个宇宙已经毁灭了，还试验不出来

作者: 指纹 时间: 25-8-2020 22:30
从技术上来讲，密码长度要优先于复杂度。
以下举例，没验证过，懒
一个简单字母组合的16位密码，破解难度大于一个8位的带特殊符号的密码。
譬如：orangelemonapple 需要花的破解时间长于)$%*star
如果这个定理成立，那么选择一个易记的短语要比组合一堆字母数字符号作为密码更有效

作者: snapdragon 时间: 26-8-2020 11:58

指纹发表于 25-8-2020 21:30
从技术上来讲，密码长度要优先于复杂度。
以下举例，没验证过，懒
一个简单字母组合的16位密码，破解难度 ...

指纹，这段太有逻辑了。
你……什么时候交作业

作者: 欧阳京 时间: 26-8-2020 22:46

指纹发表于 25-8-2020 21:30
从技术上来讲，密码长度要优先于复杂度。
以下举例，没验证过，懒
一个简单字母组合的16位密码，破解难度 ...

我用四字成语拼音做密码，我不信谁能破解。

作者: 指纹 时间: 26-8-2020 22:47

annahw 发表于 26-8-2020 10:58
指纹，这段太有逻辑了。
你……什么时候交作业

搬运一段网上的论证：

如果一个8位的密码只含有大小写字母，会构成52的8次方个组合 ==53,459,728,531,456

还是8位，加上10个数字，10个特殊字符，构成72的8次方个组合 ==722,204,136,308,736

那么如果密码增加2位，还是只含有字母，会构成52的10次方个组合 ==144,555,105,949,057,020

如果是12位字母组合，==390,877,006,486,250,200,000

而且，用字母组合要比特殊字符更容易记住，譬如 thefreeozpass (13位）要比utN457#x (8位）容易记多了

作者: 指纹 时间: 26-8-2020 22:51

annahw 发表于 26-8-2020 10:58
指纹，这段太有逻辑了。
你……什么时候交作业

你说的是啥作业？砍树挖坑吗？

作者: snapdragon 时间: 26-8-2020 23:34

指纹发表于 26-8-2020 21:47
搬运一段网上的论证：

如果一个8位的密码只含有大小写字母，会构成52的8次方个组合 ==53,459,728,531, ...

但为什么现在加上特殊字符，密码的等级就高了呢？

作者: 指纹 时间: 27-8-2020 11:46

annahw 发表于 26-8-2020 22:34
但为什么现在加上特殊字符，密码的等级就高了呢？

这个网上也有不同的观点，简单来说，同样长度的密码，带特殊符号的当然要比不带特殊符号的组合多，暴力破解的难度增加，不过这个增量也就相当于几小时和几天的区别。

但是这个方案给用户带来的麻烦要远远大于给破解软件造成的麻烦，因为人类认为的复杂符号对于计算机来说不是个事儿，都是3到4bit的0和1而已

而且现在很多破解软件都很人性化的，先从字典开始，试一遍所有的常用词，而且可以加入一些基本的特殊符号代替，譬如:
'5' == 's' =='$'; 'A' == '4' =='@'; 'e' == '3'; '7' == 'T' 等等
从这个角度讲，密码 ‘ Fr3e0Zdot0rg ' 和 ’ Freeozdotorg' 的破解难度没有太大区别，而对于用户来说就麻烦了，“卧槽我上回的密码用的是’e'还是‘3’来着？是‘o'还是’零‘来着？”

相反的，增加密码长度给软件造成的难度要大得多，一个28bit的二进制数，每秒猜1000次，需要3天；一个44bit的二进制数，同样速度，需要猜550年。

NIST 在2017年发表的白皮书建议，密码认证应该要求设置一个最短长度，但没有必要增加字符复杂度。

Humans,however, have only a limited ability to memorize complex, arbitrary secrets, so they often
choose passwords that can be easily guessed. To address the resultant security concerns, online
services have introduced rules in an effort to increase the complexity of these memorized secrets.
The most notable form of these is composition rules, which require the user to choose passwords
constructed using a mix of character types, such as at least one digit, uppercase letter, and
symbol. However, analyses of breached password databases reveal that the benefit of such rules
is not nearly as significant as initially thought, although the impact on usability and
memorability is severe.
。。。
Password length has been found to be a primary factor in characterizing password
strength. Passwords that are too short yield to brute force attacks as
well as to dictionary attacks using words and commonly chosen passwords.

所以，很多服务要求密码带有特殊符号数字大小写，但在长度上要求却很宽松，实际上是造成了一种密码很复杂的假象。

作者: snapdragon 时间: 28-8-2020 00:31

指纹发表于 27-8-2020 10:46
这个网上也有不同的观点，简单来说，同样长度的密码，带特殊符号的当然要比不带特殊符号的组合多，暴力破 ...

这个论证过程真的很有逻辑。

逻辑之美。

作者: changfeng 时间: 3-12-2020 15:08

欢迎光临 FreeOZ论坛 (https://www.freeoz.org/ibbs/)