拜托,工作电脑不用整天换密码啦!

半小时前,我还在烦这个礼拜写什么。我打开公司提供的电脑准备开工 ⋯⋯ 然后现在我要发牢骚了。

作为跨国企业,我公司对雇员怎样用工作电脑有严格要求。雇员每两个月就必须换电脑跟所有工作户口的登入密码,否则期限到了无法登入电脑工作。这是为了让骇客不容易骇入我们的电脑,确保公司资料安全。

但没两个月换一次密码还不够,公司还要求密码必须够长够复杂,要有大写小写数字符号标点符号 ⋯⋯ 很难记。所以我每次换密码后,都把密码收藏在手机上,用电脑时就看着手机输入。

今天我打开电脑,电脑又跳出窗口来,要我趁两个月过去前换密码。不料公司增加了对密码的要求。我花了半个小时,一再尝试输入新的、比之前复杂的新密码,可是电脑一直坚持密码未满足长度和复杂程度的条件。我决定放弃,打算明天再试,同时写下这篇文章来发牢骚。

是的,每两月换一次密码会让骇客更难猜到密码。但结果雇员因为记不住复杂密码(记住也没用,反正过两个月又要换新的),都会把密码写进纸条,贴在电脑萤幕上。我公司几乎每个人都这么做!于是雇员如果暂时离开电脑,路人甲就可以轻易登入电脑抄走资料,甚至抄下密码来登入雇员的工作电邮。

前年,美国联盟贸易委员会首席技术专家克雷诺(Lorrie Cranor)就强调,强制用户定期更换密码有可能会适得其反。众多研究显示,这样反而令人们倾向使用较弱而且可以预测的密码,为了好记本来是 tunM#1 的密码下一次就换成 tUnM#1,然后换成 tuNM#1,如此类推。骇客只需要用演算法,就能准确预测一部分用户会怎样修改密码。

所以说,只要破解「人」这环,再高科技的加密手法都没用。一家公司可能有最强加密软件,但骇客只要打几通电话、跟关键雇员喝茶聊天套点资料,就可以轻易骇入系统。就算员工用最难猜的密码,如果她把密码写在纸条上,那再好的密码都没用。IT部门不只要懂科技,还要懂人性;这种强迫雇员每两个月换一次密码的作法,没有保护到公司的资料,只是做个样子给上头看。这也未必是IT部门的错,克雷诺指,就算IT部门想让员工省去一直换密码的麻烦,上头接受他的解释吗?只好维持现状,直到资料外泄再下令全公司员工禁止把密码写在字条上,你们自己看着办吧。

科技总是要在安全和方便之间实现平衡。我承认企业必须确保雇员都用足够复杂、不容易猜测的密码登入系统,千万别用老公生日日期或美国总统的名字。我不是没有网上安全意识,我网上所有户口从不使用重复的密码,而且密码都是软件生成的乱码,能用双因子验证(2FA)的户口都有用。但无极则反,当本意是确保资料安全的科技太麻烦,人就不会去用它,或用比较不安全的方法。

我再举个例子。现在很多网站都支持甚至强制使用双因子验证(2FA),登入帐户必须先用手机接收验证码,所以骇客不只要有你的密码,还要同时有你的手机号码才能下手。但手机号码是公开资料,一有了手机号码骇客就不难得到验证码了。于是这些年科技新闻网都爱煽情地呼吁人们,别用 SMS 接收 2FA 验证码了,除非你想成为下一个受害者!应该马上换去用谷歌 Authenticator 等生产验证码的软件!科技新闻网本意良好,但他们忽略了几点。

第一,骇客很忙,他们如果有更容易下手的对象,才懒得套你手机号码呢!除非你是大公司高层、政治领袖、异议份子。如果你有用SMS接收验证码,在骇客眼里,你就不是那么有吸引力。第二,就算你有在使用可以接收验证码的软件,一般上网站还是会额外提供通过 SMS 接收验证码的功能,以防万一;你必须特地关掉该功能,否则户口没更安全。第三,很多网站 —— 尤其是银行网站 —— 只支持用 SMS 接收验证码。资料显示90%网民连基本的 SMS 版 2FA 都没在用,此时煽情地强调 SMS 接收验证码的风险,反而令很多本来考虑启动 SMS 版 2FA 功能的人继续用不安全的密码输入方式,变成好心做坏事。

科技公司总是在安全跟方便间取舍,最好找到恰当平衡。与此同时,科技不应该只有科技,还必须有符合人性的设计;如较多智能手机款式早就从普通密码登录换去指纹识别,这两三年更纷纷换去更方便的脸部扫描。每次登入手机的方法变得方便,都会有一大堆科技迷跳出来说,新的方法没旧的安全,输入密码才是王道,而且密码必须够长和复杂,别只六个号码。但如果每次用手机都得输入十六个号码,多数人只会放弃用密码。牺牲掉一点点安全换来方便,反而鼓励更多人用「不是最安全」但有用好过没用的安全功能。至善者,善之敌也,不只政治是如此,科技也是如此。