深蓝和AlphaGo并非是掌握了围棋的奥义,而是从上千万棋谱当中,完成了一个统计:我走在A位置赢的概率是多少,走在B位置赢的概率又是多少;若是走A胜算大些,我便走A…… 当今的机器学习和思考,基本上都是基于这种统计的暴力美学:利用计算机快速对简单运算的重复和永久无损的记忆能力,完成了人类几千年来积累知识的数字化过程。
按理说人跟机器打交道时间久了,应该开始学会用机器的思维来进行一些分析和思考。然而老祖先留下的思维定式根深蒂固,想跳出并没有那么容易,于是乎出现了一些没有必要,或者至少说,性价比不高的约束和设定,比如说:
设计密码的复杂度。
网站的账户密码已成为不可或缺的一部分
“密码长度要求至少8位,至少包含一个数字,一个字母(大小写均可)和一个特殊字符”。 这样的规则是不是很熟悉? 可是有什么用么?
答案是有的有用,有的彻底没用。
我们做一个初步的计算:
在计算机的键盘上,组合出的单个字符有100多个(假设是100),随机生成1位密码,有100种可能,随机生成两位有100^2=10000种可能,以此类推,随机生成的8位密码有一亿亿种可能…… 所以,如果用穷举的方法来暴力破解,那么8位密码要比6位密码多花一万倍的时间,因此限定密码长度是有意义的。
完全对穷举类的暴力破解而“至少包含XX”则方法没有意义:因为在计算机看来,密码‘123456’和密码‘}!T%=x’是一样的复杂,而对于人来说,前面那个要好记很多。
设定这个规则,只能防止那些想猜透他人密码的人类,无法应对机器背后庞大的计算能力。这种密码的复杂度,不再是人名或者日期那么简单,尤其加入标点符号之后,造成了密码几乎没有太多语义。因此,在隔了一段时间不用之后,人有很大概率会忘记密码。因此,虽然Google Chrome等浏览器提供记忆密码功能,我也从不使用。
密码强迫症
我们做一个小调查:
智能手机横行的今天,每个人的手机里都能装几十上百个APP,大部分APP都可以注册账户,自然也需要密码。而且神奇的是密码一经登陆就无需再次输入(最多验个手势),因此非常方便。但令人吐槽的是当你更换手机(通常2年~3年一次)的时候会非常麻烦,因为人很难记得两三年前你写下了一组什么样的字母数字和标点符号…… 于是需要N多次重装应用并找回密码,可偏偏你可能又刚好因为换手机换了手机号…… 好吧,友情提醒,换号需谨慎,毕竟今天漫游费已经差不多低到0了。
有人说:既然大幅找回这么麻烦,我为何不把所有APP设成一样的一个复杂密码呢? 嗯,想法很好,也确实很方便,但是一旦泄露(很可能是网站或者APP把你卖了,而你还不知道),请尽快修改所有密码。黑客的一种常用手段叫做“撞库”,就是取得了一个网站的几十万注册账户和密码匹配对之后,去另一个网站尝试用同样的用户名和密码登陆,命中率很高。我们就算可以相信BAT或是各个银行的密码安全系统和职业操守(虽然不一定有),但那些小型游戏公司或者是创业APP,真心没有这么多资源投入这个范围。同样的密码应用的范围越大,就越容易泄露;泄露后的理论损失也越大,因此还是小心为上。
设计密码与破译密码,攻与防,在数字时代持续了一个多世纪,技术迭代了很多轮。但是万变中却也有不变:比如,ATM取款机的密码,永远是6位数字,按照前面的计算,这一共也就一百万种组合,猜起来实在是小菜一碟,实在是太不安全了!而且,全世界的ATM都是如此,没有任何一个国家在改善这一部分的功能,要求大家设计18位数字的密码…… 是不是很奇怪? 但是大家也不必担心,现在的银行,ATM机都加装了摄像头,所有资金流水也都有数字记录;就算是都绕过去了,每天还有取款限额,所以通常出不了大事,而出了任何事情都非常容易追踪。而另外新兴的电子银行,正在通过手机验证码,动态口令,摄像头+事后追踪等其他方法,追加安全性。有可能犯罪一时得手,但后续的追查非常简单,这其实是釜底抽薪地解决了一类偷盗案件。
ATM密码主要靠猜
以当今科学之发达,破解密码肯定不能再只依赖暴力破解,还有N多其他的方法,但不是本文的重点,就不再展开详述了。真正能够防止机器破解的,一类是“N次密码错误锁定账户K分钟”,这使得暴力破解无法拖延下去;另一类是一种叫做验证码的东西,至今机器还没有通过图片识别破解。
各类奇葩的验证码
至于未来,其实现在已经有了指纹验证,非常方便,再结合人脸等生物特征,可能会成为终极的解决方案。只是其中的机器学习、识别与匹配算法,需要更多工程师的设计,和程序员的试验。
#413-Haomian-一齐听棉讲故事#+橙子学院码字岛第13篇作业
网友评论