天天觀天下！沒(méi)密碼賬號(hào)更安全！谷歌沒(méi)在開(kāi)玩笑

時(shí)至今日，「賬戶」連同「密碼」已經(jīng)關(guān)聯(lián)了我們太多的重要數(shù)據(jù)，但與此同時(shí)，世界上最多人使用的密碼又是什么？

2022 年，NordPass 在檢索 3TB 容量的全球密碼庫(kù)后發(fā)現(xiàn)是：password（密碼）。排在「password」后面的還有「123456」「123456789」「qwerty」這類大家喜聞樂(lè)見(jiàn)的密碼，而這些密碼早在十年前就已經(jīng)「流行」全球。

(資料圖片)

可想而知地球人是有多懶？十年都不帶換。

誠(chéng)然，懶得花費(fèi)精力記憶或者琢磨一套個(gè)人的密碼系統(tǒng)是一方面，但另一方面也是一位因?yàn)槊艽a天然存在太多問(wèn)題，很早就有人主張砍掉「用戶名-密碼」的安全體系，用「無(wú)密碼登錄」取而代之。

圖/Wikimedia Commons

趕在今年的世界密碼日前，谷歌在官方博客發(fā)文宣布，此前在測(cè)試的 Passkey（通行密鑰）無(wú)密碼登錄功能將向所有用戶推出，用戶可以基于信任的設(shè)備直接完成生物驗(yàn)證，而不用輸入密碼。事實(shí)上不僅是谷歌，微軟甚至早在 2021 年 9 月宣布了無(wú)密碼登錄功能，還支持用戶在賬戶中完全刪除密碼，僅依靠生物識(shí)別進(jìn)行登錄，自然也就不存在密碼泄露的問(wèn)題。

另外，作為全球最重要操作系統(tǒng)廠商，谷歌、微軟和蘋果還在去年的世界密碼日（5 月 5 日）聯(lián)合宣布，他們將致力于在未來(lái)一年，在其控制的所有移動(dòng)、桌面和瀏覽器平臺(tái)上打造無(wú)密碼登錄系統(tǒng)。

從互聯(lián)網(wǎng)早期一直流行到今天，好端端的密碼怎么就不受大家的待見(jiàn)了？

密碼泄露了，拿什么證明我是誰(shuí)？

去年 6 月，大學(xué)生學(xué)習(xí)軟件「超星學(xué)習(xí)通」曝出了大規(guī)模被拖庫(kù)事件，1 億 7273 萬(wàn)條用戶數(shù)據(jù)遭到泄露，包括姓名、手機(jī)號(hào)、性別、學(xué)校、學(xué)號(hào)、郵箱、密碼等信息。該消息隨后沖上微博熱搜，大量超星學(xué)習(xí)通用戶都反映收到了外地乃至境外的詐騙電話，還提到對(duì)方能準(zhǔn)確報(bào)出身份證號(hào)等關(guān)鍵信息。

事件發(fā)生后，不少高校也都接到教育網(wǎng)的相關(guān)通知，顯示不僅確認(rèn)超星學(xué)習(xí)通泄露了大量用戶數(shù)據(jù)，并涉及全國(guó)大量高校，應(yīng)急安全響應(yīng)為 A 級(jí)。同時(shí)通知還提醒老師和同學(xué)：

「如果您其他系統(tǒng)密碼與超星學(xué)習(xí)通密碼一致，請(qǐng)盡快修改為新密碼，嚴(yán)防撞庫(kù)對(duì)自己產(chǎn)生更大危害，謹(jǐn)防詐騙。」

與此同時(shí)，過(guò)去幾年全球不斷發(fā)生賬戶密碼泄露事件，根據(jù)網(wǎng)絡(luò)安全公司 SpyCloud 發(fā)布的 2023 年身份暴露報(bào)告，研究人員僅去年就在網(wǎng)上發(fā)現(xiàn)了 7.215 億個(gè)被泄露的密碼，其中一半來(lái)自僵尸網(wǎng)絡(luò)——被惡意軟件感染并被黑客控制的計(jì)算機(jī)網(wǎng)絡(luò)。

如果涉及微信、支付寶、銀行和電商平臺(tái)這類關(guān)鍵賬戶，不僅會(huì)極大地影響日常生活，也觸碰到了極為敏感的財(cái)產(chǎn)安全，一旦泄露可能引起無(wú)可挽回的損失。另一方面，用戶也要面對(duì)密碼泄露的成本，一部分賬號(hào)或許可以自助修改密碼，無(wú)非花費(fèi)一些可預(yù)計(jì)的時(shí)間，另一部分已經(jīng)被篡改的賬號(hào)，可能就需要用戶提供足夠的信息「證明你是你」。

本質(zhì)上密碼就是用來(lái)證明身份的工具，問(wèn)題也恰恰于此——密碼說(shuō)到底也只是一串文本。不管是撞庫(kù)、釣魚郵件還是僵尸網(wǎng)絡(luò)，作為身份證明工具的密碼都太容易泄露和盜用，密碼管理器和兩步驗(yàn)證可以完善對(duì)「密碼」的保護(hù)，但除了較高的學(xué)習(xí)和使用成本，并不能改變密碼容易被盜用和篡改的本質(zhì)。

個(gè)人密碼，從入門到放棄

圖/bilibili@-xuegao123-

賬號(hào)密碼幾乎是伴隨著早期互聯(lián)網(wǎng)而起，最典型的應(yīng)用就是郵箱，但對(duì)中國(guó) 90 年后生人來(lái)說(shuō)，可能更多是在 QQ 上記住了第一個(gè)賬戶和密碼。而即便是在 QQ 興起的新千年初，隨著大量網(wǎng)站和軟件的涌現(xiàn)，互聯(lián)網(wǎng)用戶注冊(cè)了一個(gè)又一個(gè)賬戶，大部分人事實(shí)上只能記住少數(shù)的用戶名和密碼，很多時(shí)候都是重復(fù)使用同樣的密碼，或是用上「手寫密碼」這種笨方法。

但到后來(lái)，網(wǎng)絡(luò)安全的攻防戰(zhàn)越發(fā)激烈，再加之軟件應(yīng)用的大爆發(fā)也帶來(lái)了大量的賬號(hào)，于是也就有了 LastPass 等密碼管理器應(yīng)運(yùn)而生。通過(guò)記住一個(gè)密碼管理「所有賬戶的不同密碼」，密碼管理器在一定程度上確實(shí)解決了安全和便利的矛盾。

不過(guò)風(fēng)險(xiǎn)實(shí)際在轉(zhuǎn)移——一旦密碼管理器的密碼泄露，所有賬戶都將全數(shù)暴露。LastPass 作為用戶規(guī)模最大的密碼管理器之一，就多次遭遇了攻擊泄露事件，最近的一次發(fā)生在去年 8 月。即便是公認(rèn)更安全的 1Password 和 Bitwarden（開(kāi)源），同樣也有可能發(fā)生數(shù)據(jù)泄露安全事故。

也是看到個(gè)人密碼在安全方面的風(fēng)險(xiǎn)，兩步驗(yàn)證開(kāi)始逐漸流行，比如手機(jī)短信和郵箱驗(yàn)證碼或是基于時(shí)間的驗(yàn)證器密鑰（安全性更高）。然而更安全的驗(yàn)證器始終沒(méi)有流行開(kāi)來(lái)，遠(yuǎn)比短信和郵箱驗(yàn)證碼來(lái)得小眾，使用成本上也確實(shí)更高，需要增加查看和復(fù)制一次性密鑰的步驟，還要考慮時(shí)間。

通行密鑰與密碼的區(qū)別，圖/蘋果

同樣從身份證明這個(gè)角度出發(fā)，微軟、谷歌和蘋果主推的通行密鑰，則將以往需要儲(chǔ)存在服務(wù)器端的登錄信息，替換為了非對(duì)稱加密技術(shù)中的口令。當(dāng)用戶為某個(gè)賬戶創(chuàng)建通行密鑰時(shí)，用戶設(shè)備上會(huì)生成一對(duì)公私密鑰，賬戶服務(wù)器只會(huì)獲取并存儲(chǔ)「公鑰」，攻擊者無(wú)法從服務(wù)器上的數(shù)據(jù)推導(dǎo)出存儲(chǔ)在用戶設(shè)備上，完成身份驗(yàn)證必需的「私鑰」。并且因?yàn)闆](méi)有「密碼」，通行密鑰也不存在「密碼強(qiáng)度」「重復(fù)使用」等問(wèn)題。

就像蘋果認(rèn)證體驗(yàn)團(tuán)隊(duì)的 Garrett Davidson 在去年 WWDC 上指出，有了通行密鑰，重復(fù)使用、撞庫(kù)、密碼泄露和網(wǎng)絡(luò)釣魚等問(wèn)題，都不再可能。

而在使用上，通行密鑰與用戶可信賴的設(shè)備綁定，支持設(shè)備上的指紋識(shí)別、Face ID、Windows Hello 以及 PIN 認(rèn)證等。當(dāng)然，用戶也能將手機(jī)作為主要的驗(yàn)證設(shè)備，或者說(shuō)「鑰匙」來(lái)登錄所有賬戶，不需要輸入任何東西，一次識(shí)別就能實(shí)現(xiàn)身份驗(yàn)證，大大簡(jiǎn)化了過(guò)去兩步驗(yàn)證+密碼管理器+自動(dòng)填寫密碼的形式。同時(shí)基于 FIDO 協(xié)議，用戶可以使用 iPhone 上的通行密鑰，在運(yùn)行微軟 Windows 的設(shè)備上登錄谷歌 Chrome 瀏覽器。

憑借更安全的機(jī)制、更簡(jiǎn)單的驗(yàn)證步驟，幾乎可以預(yù)見(jiàn)，通行密鑰將完全取代密碼。換句話說(shuō)，可信賴的本地設(shè)備（比如手機(jī)）將在真正意義上成為我們不同網(wǎng)絡(luò)身份的萬(wàn)能鑰匙，打開(kāi)的是一個(gè)「無(wú)密碼」的世界。

題圖來(lái)自 Wikimedia Commons

責(zé)任編輯：Rex_04