時至今日,「賬戶」連同「密碼」已經關聯了我們太多的重要數據,但與此同時,世界上最多人使用的密碼又是什么?
2022 年,NordPass 在檢索 3TB 容量的全球密碼庫后發現是:password(密碼)。排在「password」后面的還有「123456」「123456789」「qwerty」這類大家喜聞樂見的密碼,而這些密碼早在十年前就已經「流行」全球。
(資料圖片)
可想而知地球人是有多懶?十年都不帶換。
誠然,懶得花費精力記憶或者琢磨一套個人的密碼系統是一方面,但另一方面也是一位因為密碼天然存在太多問題,很早就有人主張砍掉「用戶名-密碼」的安全體系,用「無密碼登錄」取而代之。
圖/Wikimedia Commons
趕在今年的世界密碼日前,谷歌在官方博客發文宣布,此前在測試的 Passkey(通行密鑰)無密碼登錄功能將向所有用戶推出,用戶可以基于信任的設備直接完成生物驗證,而不用輸入密碼。事實上不僅是谷歌,微軟甚至早在 2021 年 9 月宣布了無密碼登錄功能,還支持用戶在賬戶中完全刪除密碼,僅依靠生物識別進行登錄,自然也就不存在密碼泄露的問題。
另外,作為全球最重要操作系統廠商,谷歌、微軟和蘋果還在去年的世界密碼日(5 月 5 日)聯合宣布,他們將致力于在未來一年,在其控制的所有移動、桌面和瀏覽器平臺上打造無密碼登錄系統。
從互聯網早期一直流行到今天,好端端的密碼怎么就不受大家的待見了?
密碼泄露了,拿什么證明我是誰?
去年 6 月,大學生學習軟件「超星學習通」曝出了大規模被拖庫事件,1 億 7273 萬條用戶數據遭到泄露,包括姓名、手機號、性別、學校、學號、郵箱、密碼等信息。該消息隨后沖上微博熱搜,大量超星學習通用戶都反映收到了外地乃至境外的詐騙電話,還提到對方能準確報出身份證號等關鍵信息。
事件發生后,不少高校也都接到教育網的相關通知,顯示不僅確認超星學習通泄露了大量用戶數據,并涉及全國大量高校,應急安全響應為 A 級。同時通知還提醒老師和同學:
「如果您其他系統密碼與超星學習通密碼一致,請盡快修改為新密碼,嚴防撞庫對自己產生更大危害,謹防詐騙。」
與此同時,過去幾年全球不斷發生賬戶密碼泄露事件,根據網絡安全公司 SpyCloud 發布的 2023 年身份暴露報告,研究人員僅去年就在網上發現了 7.215 億個被泄露的密碼,其中一半來自僵尸網絡——被惡意軟件感染并被黑客控制的計算機網絡。
如果涉及微信、支付寶、銀行和電商平臺這類關鍵賬戶,不僅會極大地影響日常生活,也觸碰到了極為敏感的財產安全,一旦泄露可能引起無可挽回的損失。另一方面,用戶也要面對密碼泄露的成本,一部分賬號或許可以自助修改密碼,無非花費一些可預計的時間,另一部分已經被篡改的賬號,可能就需要用戶提供足夠的信息「證明你是你」。
本質上密碼就是用來證明身份的工具,問題也恰恰于此——密碼說到底也只是一串文本。不管是撞庫、釣魚郵件還是僵尸網絡,作為身份證明工具的密碼都太容易泄露和盜用,密碼管理器和兩步驗證可以完善對「密碼」的保護,但除了較高的學習和使用成本,并不能改變密碼容易被盜用和篡改的本質。
個人密碼,從入門到放棄
圖/bilibili@-xuegao123-
賬號密碼幾乎是伴隨著早期互聯網而起,最典型的應用就是郵箱,但對中國 90 年后生人來說,可能更多是在 QQ 上記住了第一個賬戶和密碼。而即便是在 QQ 興起的新千年初,隨著大量網站和軟件的涌現,互聯網用戶注冊了一個又一個賬戶,大部分人事實上只能記住少數的用戶名和密碼,很多時候都是重復使用同樣的密碼,或是用上「手寫密碼」這種笨方法。
但到后來,網絡安全的攻防戰越發激烈,再加之軟件應用的大爆發也帶來了大量的賬號,于是也就有了 LastPass 等密碼管理器應運而生。通過記住一個密碼管理「所有賬戶的不同密碼」,密碼管理器在一定程度上確實解決了安全和便利的矛盾。
不過風險實際在轉移——一旦密碼管理器的密碼泄露,所有賬戶都將全數暴露。LastPass 作為用戶規模最大的密碼管理器之一,就多次遭遇了攻擊泄露事件,最近的一次發生在去年 8 月。即便是公認更安全的 1Password 和 Bitwarden(開源),同樣也有可能發生數據泄露安全事故。
也是看到個人密碼在安全方面的風險,兩步驗證開始逐漸流行,比如手機短信和郵箱驗證碼或是基于時間的驗證器密鑰(安全性更高)。然而更安全的驗證器始終沒有流行開來,遠比短信和郵箱驗證碼來得小眾,使用成本上也確實更高,需要增加查看和復制一次性密鑰的步驟,還要考慮時間。
通行密鑰與密碼的區別,圖/蘋果
同樣從身份證明這個角度出發,微軟、谷歌和蘋果主推的通行密鑰,則將以往需要儲存在服務器端的登錄信息,替換為了非對稱加密技術中的口令。當用戶為某個賬戶創建通行密鑰時,用戶設備上會生成一對公私密鑰,賬戶服務器只會獲取并存儲「公鑰」,攻擊者無法從服務器上的數據推導出存儲在用戶設備上,完成身份驗證必需的「私鑰」。并且因為沒有「密碼」,通行密鑰也不存在「密碼強度」「重復使用」等問題。
就像蘋果認證體驗團隊的 Garrett Davidson 在去年 WWDC 上指出,有了通行密鑰,重復使用、撞庫、密碼泄露和網絡釣魚等問題,都不再可能。
而在使用上,通行密鑰與用戶可信賴的設備綁定,支持設備上的指紋識別、Face ID、Windows Hello 以及 PIN 認證等。當然,用戶也能將手機作為主要的驗證設備,或者說「鑰匙」來登錄所有賬戶,不需要輸入任何東西,一次識別就能實現身份驗證,大大簡化了過去兩步驗證+密碼管理器+自動填寫密碼的形式。同時基于 FIDO 協議,用戶可以使用 iPhone 上的通行密鑰,在運行微軟 Windows 的設備上登錄谷歌 Chrome 瀏覽器。
憑借更安全的機制、更簡單的驗證步驟,幾乎可以預見,通行密鑰將完全取代密碼。換句話說,可信賴的本地設備(比如手機)將在真正意義上成為我們不同網絡身份的萬能鑰匙,打開的是一個「無密碼」的世界。
題圖來自 Wikimedia Commons
責任編輯:Rex_04
營業執照公示信息