時至今日,「賬戶」連同「密碼」已經關聯了我們太多的重要數據,但與此同時,世界上最多人使用的密碼又是什麼?
2022 年,nordpass 在檢索 3tb 容量的全球密碼庫後發現是:password(密碼)。排在「password」後面的還有「123456」「123456789」「qwerty」這類大家喜聞樂見的密碼,而這些密碼早在十年前就已經「流行」全球。
可想而知地球人是有多懶?十年都不帶換。
誠然,懶得花費精力記憶或者琢磨一套個人的密碼系統是一方面,但另一方面也是一位因為密碼天然存在太多問題,很早就有人主張砍掉「用戶名-密碼」的安全體系,用「無密碼登錄」取而代之。
圖/wikimedia commons
趕在今年的世界密碼日前,谷歌在官方博客發文宣布,此前在測試的 passkey(通行密鑰)無密碼登錄功能將向所有用戶推出,用戶可以基於信任的設備直接完成生物驗證,而不用輸入密碼。事實上不僅是谷歌,微軟甚至早在 2021 年 9 月宣布了無密碼登錄功能,還支持用戶在賬戶中完全刪除密碼,僅依靠生物識別進行登錄,自然也就不存在密碼泄露的問題。
另外,作為全球最重要操作系統廠商,谷歌、微軟和蘋果還在去年的世界密碼日(5 月 5 日)聯合宣布,他們將致力於在未來一年,在其控制的所有移動、桌面和瀏覽器平台上打造無密碼登錄系統。
從互聯網早期一直流行到今天,好端端的密碼怎麼就不受大家的待見了?
密碼泄露了,拿什麼證明我是誰?
去年 6 月,大學生學習軟體「超星學習通」曝出了大規模被拖庫事件,1 億 7273 萬條用戶數據遭到泄露,包括姓名、手機號、性別、學校、學號、郵箱、密碼等信息。該消息隨後衝上微博熱搜,大量超星學習通用戶都反映收到了外地乃至境外的詐騙電話,還提到對方能準確報出身份證號等關鍵信息。
事件發生後,不少高校也都接到教育網的相關通知,顯示不僅確認超星學習通泄露了大量用戶數據,並涉及全國大量高校,應急安全響應為 a 級。同時通知還提醒老師和同學:
「如果您其他系統密碼與超星學習通密碼一致,請儘快修改為新密碼,嚴防撞庫對自己產生更大危害,謹防詐騙。」
與此同時,過去幾年全球不斷發生賬戶密碼泄露事件,根據網路安全公司 spycloud 發布的 2023 年身份暴露報告,研究人員僅去年就在網上發現了 7.215 億個被泄露的密碼,其中一半來自殭屍網路——被惡意軟體感染並被黑客控制的計算機網路。
如果涉及微信、支付寶、銀行和電商平台這類關鍵賬戶,不僅會極大地影響日常生活,也觸碰到了極為敏感的財產安全,一旦泄露可能引起無可挽回的損失。另一方面,用戶也要面對密碼泄露的成本,一部分賬號或許可以自助修改密碼,無非花費一些可預計的時間,另一部分已經被篡改的賬號,可能就需要用戶提供足夠的信息「證明你是你」。
本質上密碼就是用來證明身份的工具,問題也恰恰於此——密碼說到底也只是一串文本。不管是撞庫、釣魚郵件還是殭屍網路,作為身份證明工具的密碼都太容易泄露和盜用,密碼管理器和兩步驗證可以完善對「密碼」的保護,但除了較高的學習和使用成本,並不能改變密碼容易被盜用和篡改的本質。
個人密碼,從入門到放棄
圖/bilibili@-xuegao123-
賬號密碼幾乎是伴隨著早期互聯網而起,最典型的應用就是郵箱,但對中國 90 年後生人來說,可能更多是在 qq 上記住了第一個賬戶和密碼。而即便是在 qq 興起的新千年初,隨著大量網站和軟體的湧現,互聯網用戶註冊了一個又一個賬戶,大部分人事實上只能記住少數的用戶名和密碼,很多時候都是重複使用同樣的密碼,或是用上「手寫密碼」這種笨方法。
但到後來,網路安全的攻防戰越發激烈,再加之軟體應用的大爆發也帶來了大量的賬號,於是也就有了 lastpass 等密碼管理器應運而生。通過記住一個密碼管理「所有賬戶的不同密碼」,密碼管理器在一定程度上確實解決了安全和便利的矛盾。
不過風險實際在轉移——一旦密碼管理器的密碼泄露,所有賬戶都將全數暴露。lastpass 作為用戶規模最大的密碼管理器之一,就多次遭遇了攻擊泄露事件,最近的一次發生在去年 8 月。即便是公認更安全的 1password 和 bitwarden(開源),同樣也有可能發生數據泄露安全事故。
也是看到個人密碼在安全方面的風險,兩步驗證開始逐漸流行,比如手機簡訊和郵箱驗證碼或是基於時間的驗證器密鑰(安全性更高)。然而更安全的驗證器始終沒有流行開來,遠比簡訊和郵箱驗證碼來得小眾,使用成本上也確實更高,需要增加查看和複製一次性密鑰的步驟,還要考慮時間。
通行密鑰與密碼的區別,圖/蘋果
同樣從身份證明這個角度出發,微軟、谷歌和蘋果主推的通行密鑰,則將以往需要儲存在伺服器端的登錄信息,替換為了非對稱加密技術中的口令。當用戶為某個賬戶創建通行密鑰時,用戶設備上會生成一對公私密鑰,賬戶伺服器只會獲取並存儲「公鑰」,攻擊者無法從伺服器上的數據推導出存儲在用戶設備上,完成身份驗證必需的「私鑰」。並且因為沒有「密碼」,通行密鑰也不存在「密碼強度」「重複使用」等問題。
就像蘋果認證體驗團隊的 garrett davidson 在去年 wwdc 上指出,有了通行密鑰,重複使用、撞庫、密碼泄露和網路釣魚等問題,都不再可能。
而在使用上,通行密鑰與用戶可信賴的設備綁定,支持設備上的指紋識別、face id、windows hello 以及 pin 認證等。當然,用戶也能將手機作為主要的驗證設備,或者說「鑰匙」來登錄所有賬戶,不需要輸入任何東西,一次識別就能實現身份驗證,大大簡化了過去兩步驗證+密碼管理器+自動填寫密碼的形式。同時基於 fido 協議,用戶可以使用 iphone 上的通行密鑰,在運行微軟 windows 的設備上登錄谷歌 chrome 瀏覽器。
憑藉更安全的機制、更簡單的驗證步驟,幾乎可以預見,通行密鑰將完全取代密碼。換句話說,可信賴的本地設備(比如手機)將在真正意義上成為我們不同網路身份的萬能鑰匙,打開的是一個「無密碼」的世界。
題圖來自 wikimedia commons
