密码不可靠 二维令或成最安全的网络通行证

• 二维码

密码已经成为人们在互联网遨游时不可或缺的“通行证”。然而，近日官方购票网站12306却被曝大量用户名、密码等用户隐私信息遭到泄露，原因是该网站被利用其他网站泄露的用户名密码“撞库”攻击。“泄密事件”旋即引发大量用户对个人信息安全的恐慌，虽然12306网站曾提醒用户紧急修改密码，但显然修改密码并不能从根本上解决出现的安全威胁。在日益复杂的互联网环境中，如何才能有效保护自己的帐号安全，避免各种各样的网络攻击，才是值得我们思考的。

修改密码不可靠 暴力破解无处逃

12306网站在证实用户信息泄露后，曾提醒用户紧急修改密码。然而，有专家指出，“仅仅修改密码解决不了关键问题”，未来仍然有可能出现新的漏洞和攻击导致密码再次泄露。

除了密码数据库泄露，弱口令也是密码安全的主要威胁之一。但是在暴力破解方式面前，大部分密码复杂性的努力都是徒劳的。所谓暴力破解就是用高性能计算机把所有可能的字母数字组合穷举一遍，总能试出来。现在GPU的运算能力已经超过每秒数千亿次，除了用GPU加速，通常还可以配合彩虹表，采用空间换时间的方法，将破解时间大大缩短。彩虹表就是将各种可能的数字、字母组合的哈希值预先计算好，通过查表的方式快速匹配，提高破解速度。彩虹表通常都很庞大，从几十G到几百T都有，但这对于现在的计算机处理能力来说，已经不算什么问题。可以说，在高性能的GPU服务器集群和巨大的彩虹表面前，几乎没有密码可以幸免。

据微软研究院的一份最新研究报告显示，在暴力破解面前，一个可以承受100万次的破解并不复杂的密码，比如“tincan24”，和一个可以承受100万亿次破解的强密码“7Qr&2M”，其实区别并不大。

“保密”工作要做好 二维令牌破不了

对互联网用户来说，效率和安全始终是一对矛盾。很多人为了输入的方便，就忽略了“保密”工作的重要性，把各种密码设成非常简单的数字字母序列。这无疑是将自己的帐号拱手交予他人，稍懂点密码破解技术和社会工程学的黑客就能轻松破解。因此，关乎帐号和密码等隐私信息的“保密”工作亟需更加安全的保证，而能够同时兼顾效率和安全这对矛盾的一定是更为创新的技术。

值得一提的是，在互联网身份认证领域已经出现了颠覆传统的新技术。业内知名的互联网安全公司石盾科技已经发布了QRTOKEN二维令产品。二维令利用二维码带来的便利性，可以帮助用户进行更高级别安全登录，成功颠覆了“用户名+密码”的传统登录方式。

石盾科技CEO韩晟展示二维令产品

据悉，借助二维令，用户无需再使用复杂的用户名和密码，仅用智能手机扫一扫，便可以实现更加快、易、安全的互联网身份认证，并安全无忧的畅游互联网。

石盾科技官方网站介绍，二维令由两个部分组成，一个是二维令手机APP，一个是4×3.5×1.05厘米的二维令物理令牌，约为成人1/4手掌大小。据介绍，二维令APP已经在安卓电子市场上线，用户可以下载体验，同时二维令物理令牌也将近期在京东商城参与众筹。

二维令的颠覆性在于其完全去掉了密码，采用不可能破解的密钥。二维令是以智能手机扫码登录的方式完成身份认证，因此不存在记忆和输入用户名、密码的烦恼。登录网站，用二维令APP扫一扫专门为二维令开辟的第三方入口二维码就可以轻松登录；登录手机其他APP，只需选择二维令登录并点击授权即可，连扫码环节都可省掉。但像聊天、支付、邮箱等涉及个人隐私信息的网站，在使用二维令APP扫码的基础上，再扫一扫二维令物理令牌，双重保障将更大幅度提升个人帐号安全。

二维令更有牢不可破的安全保障。据了解，二维令采用了国际通用的经典算法ECC，密钥长度达到256bit，目前在地球上还没有人可以直接破解。二维令的物理令牌中内置了专业安全芯片保存私钥，即使令牌被物理拆解，也无法破坏芯片读取私钥，确保令牌安全。同时二维令还能够与手机做专属绑定，用户无需担心令牌丢失。

可见，在密码已经不可靠的互联网时代，二维令有望成为网民最安全的“网络通行证”。