无需记住就能使用的密码

就算是最复杂的电子信息安全防护也能被攻破，只要逼着某人说出密码即可。有没有一种方法，让敏感信息能存储在你的大脑中，然而无论你如何绞尽脑汁，就是无法透露给别人呢？

一项结合了密码学和神经系统科学的新技术声称可以实现这种想法。在初期的实验中，志愿者们记住了一个密码，并在一会后用那个密码通过了一项测试，然而被问到那密码是什么时他们就是说不出来。

这整个体系建立在内隐学习理论之上。内隐学习的过程中，人们可以不知不觉地记住某个图案。加州斯坦福大学的Hristo Bojinov与同事一起设计了一个游戏。在这个游戏中玩家可以用敲击一个键来拦截一个坠落的物体。这个物体在六个位置中的一个出现，每一位置对应一个不同的键。

物体出现的位置其实并不总是随机的，但这点玩家们毫不知情。游戏中暗藏30个连续位置的顺序，这个顺序在这个30到45分钟的游戏中重复了100次以上。在连续的赛局中，玩家遇到这个顺序会犯的错误少得多。这样的学习不断重复，只到两星期后。

实验结果表明这个游戏可能为一种安全系统打下实现基础。用户可以通过在开始时熟悉某个特定的顺序，然后在游戏中证明自己知道这个顺序。关键的是，先前的研究证实了人们无法说出通过这种方法掌握的次序。

这类现象其实在日常生活中也处处可见。比如说，你可以试想一下，人们能够把新词准确的加载到一个句子里面去，但并没有清楚他们使用的语法。

可以想象，某人可以通过逼迫掌握密码的人玩一个类似的游戏，在他们不犯什么错误时，推测出次序。然而由于这个次序由30个对应六个位置之一的击键组合而成，把这个次序组合起来的机率很小。发明者估计，对100个用户测试一年后，破译这个次序的机率小于六万分之一。

这项技术商业推广之前，还需要更友好的用户界面。如同其他的安全系统一样，这门技术也可能会被通过入侵鉴定用户的系统而破解。由于这些原因，Bojinov说当掌握密码的人需要现场出现时，程序出现安全风险的可能性可能很高，比如说要进入核设施或者军事部门的时候。

这套体系比生物学方法有潜在优势。生物学方法需要识别一种独一无二的特性比如说虹膜的图案。“要授权无需处理用户的某一部分的特征”，曼彻斯特哥伦比亚大学RSA实验室主任Ari Jules说道，“
4000
如果用于训练和授权的时间可以更少些，就可以一边妥协着取代生物学方法，一边享受被总结为简易和低风险的生物学方法的好处。”

Bojinov将于8月8日在华盛顿贝尔维尤召开的USENIX安全座谈会上报告自己所作的工作。

此文章在首次发布后曾修改过。