“找回密码”
有些身份窃贼会直接跳过密码这一环节,他们假装自己是忘记密码的用户,然后回答安全问题。如果他们猜对了,他们就可以把密码改成他们想要的,合法用户的信息不仅被出售,他们自己也无法登录账号了。
2008年有人通过猜测萨拉•帕林(Sarah Palin,美国政治家)初次遇见她丈夫的地点而黑进了她的邮箱,四年后有人猜中米特•罗姆尼(Mitt Romney,也是美国政治家)最喜欢的宠物而黑进了他的账号,并不是只有名人需要担心这些问题,任何与你熟悉的人都可能猜出你的很多安全问题,而不认识你的黑客们则有针对安全问题的流行答案表——最常见的宠物名、旧车等等。
最近,新闻报道常常吹捧一个应对策略:用毫无意义的答案。比如你用儿童黑话来回答每一个问题,或者用同一个无意义的答案回答所有问题。你母亲在结婚前叫Jimbob,你高中的吉祥物也叫Jimbob。
这个方法可能暂时有效,但如果有一天有很多人都使用这种方法,那它也可能失效——你选取的“无意义的答案”很可能和任何其他答案都一样刻板。
我总是诚实回答安全问题。你并不经常遭遇安全问题,过了好多年之后,当你想要证明你是谁时,你不会希望自己忘记答案的。许多网站会让你选择安全问题,我会选择真实答案并不那么普遍或者不容易被猜中的答案。
个人识别码(PIN)
个人识别码就是我们银行卡使用的那种密码。好像没有人费劲去发明一个安全的PIN码,反正世界上大部分自动柜员机也只接受4位阿拉伯数字。(译注:中国自动柜员机一般使用6位阿拉伯数字,但原理相同。)我相信你能猜到最常见的PIN码是什么,但你能猜到有多少人在用吗?
尼克•贝里估计世界上足足有11%的人使用1234。PIN码倒是没有遭遇过几次大规模泄露,黑客对它不太感兴趣,因为没有实体卡的话PIN毫无用途。所以贝里的估计办法是,把所有已暴露的密码里的四位数字密码挑出来,他认为如果有人比方说用1967做密码,那肯定对这个数字情有独钟,输入PIN的时候也十有八九会用它。
贝里列表上的第二常见PIN是1111(6%的人选择了它),第三位是0000(将近2%的人)。简单来看,这意味着如果有个老手骗子捡到了你的银行卡,他有19%的概率能在三次之内猜中你的PIN值。(三次猜错之后一般的ATM就吞卡了。)
以下是贝里的20个最常用PIN码:
1234,1111,0000,1212,7777,1004,2000,4444,2222,6969,9999,3333,5555,6666,1313,8888,4321,2001,1010。
所有的四位一样的密码都在里面出现了。别忘了,这不是个随机实验,这是个“我怕我忘了这个数所以最好挑个超级超级好记的数”实验。
贝里还找到了一些不那么明显的模式:
年份。所有最近的年份,还有几个历史上著名的年份(1492,1776等等)都高居前列。
数对。许多人挑一个两位数,重复一遍就得到了他们的密码(1212,8787等等)。那个两位数的十位和个位通常只差1。
2580。有些人大概是想用在小键盘上玩井字棋的方式来获得随机密码吧……不幸的是要想得到四位数,唯一的办法是从中间直着下去,2580。这是贝里列表上第22常见的选择,这估计要怪小键盘的发明者阿方斯•恰怕尼斯(Alphonse Chapanis)。
1004。在韩语里这个数字念起来像“天使”。这引发了一首流行歌曲:“成为我的1004”。显然太多的韩国人觉得非韩国人不会知道这个,让它同时成为了流行密码。
挑选一个不在常见列表上的PIN码十分重要。最不常见的PIN是8068,但你恐怕也不要去用这个比较好……我会选一个6、7、8、9或者0开头、没有明显模式的。不要使用和个人有关的数字,比如你的生日、身份证或者信用卡号码。这些数字都在你钱包里,而丢钱包可是丢银行卡最常见的方式。