没密码账号更安全,谷歌没在开玩笑
2023-05-05 16:12:44来源:ZAKER财经
文 | 雷科技 Ieitech
时至今日,「账户」连同「密码」已经关联了我们太多的重要数据,但与此同时,世界上最多人使用的密码又是什么?
2022 年,NordPass 在检索 3TB 容量的全球密码库后发现是:password(密码)。排在「password」后面的还有「123456」「123456789」「qwerty」这类大家喜闻乐见的密码,而这些密码早在十年前就已经「流行」全球。
(资料图片仅供参考)
可想而知地球人是有多懒?十年都不带换。
诚然,懒得花费精力记忆或者琢磨一套个人的密码系统是一方面,但另一方面也是一位因为密码天然存在太多问题,很早就有人主张砍掉「用户名 - 密码」的安全体系,用「无密码登录」取而代之。
赶在今年的世界密码日前,谷歌在官方博客发文宣布,此前在测试的 Passkey(通行密钥)无密码登录功能将向所有用户推出,用户可以基于信任的设备直接完成生物验证,而不用输入密码。事实上不仅是谷歌,微软甚至早在 2021 年 9 月宣布了无密码登录功能,还支持用户在账户中完全删除密码,仅依靠生物识别进行登录,自然也就不存在密码泄露的问题。
另外,作为全球最重要操作系统厂商,谷歌、微软和苹果还在去年的世界密码日(5 月 5 日)联合宣布,他们将致力于在未来一年,在其控制的所有移动、桌面和浏览器平台上打造无密码登录系统。
从互联网早期一直流行到今天,好端端的密码怎么就不受大家的待见了?
密码泄露了,拿什么证明我是谁?
去年 6 月,大学生学习软件「超星学习通」曝出了大规模被拖库事件,1 亿 7273 万条用户数据遭到泄露,包括姓名、手机号、性别、学校、学号、邮箱、密码等信息。该消息随后冲上微博热搜,大量超星学习通用户都反映收到了外地乃至境外的诈骗电话,还提到对方能准确报出身份证号等关键信息。
事件发生后,不少高校也都接到教育网的相关通知,显示不仅确认超星学习通泄露了大量用户数据,并涉及全国大量高校,应急安全响应为 A 级。同时通知还提醒老师和同学:
「如果您其他系统密码与超星学习通密码一致,请尽快修改为新密码,严防撞库对自己产生更大危害,谨防诈骗。」
与此同时,过去几年全球不断发生账户密码泄露事件,根据网络安全公司 SpyCloud 发布的 2023 年身份暴露报告,研究人员仅去年就在网上发现了 7.215 亿个被泄露的密码,其中一半来自僵尸网络——被恶意软件感染并被黑客控制的计算机网络。如果涉及微信、支付宝、银行和电商平台这类关键账户,不仅会极大地影响日常生活,也触碰到了极为敏感的财产安全,一旦泄露可能引起无可挽回的损失。另一方面,用户也要面对密码泄露的成本,一部分账号或许可以自助修改密码,无非花费一些可预计的时间,另一部分已经被篡改的账号,可能就需要用户提供足够的信息「证明你是你」。
本质上密码就是用来证明身份的工具,问题也恰恰于此——密码说到底也只是一串文本。不管是撞库、钓鱼邮件还是僵尸网络,作为身份证明工具的密码都太容易泄露和盗用,密码管理器和两步验证可以完善对「密码」的保护,但除了较高的学习和使用成本,并不能改变密码容易被盗用和篡改的本质。
个人密码,从入门到放弃
账号密码几乎是伴随着早期互联网而起,最典型的应用就是邮箱,但对中国 90 年后生人来说,可能更多是在 QQ 上记住了第一个账户和密码。而即便是在 QQ 兴起的新千年初,随着大量网站和软件的涌现,互联网用户注册了一个又一个账户,大部分人事实上只能记住少数的用户名和密码,很多时候都是重复使用同样的密码,或是用上「手写密码」这种笨方法。
但到后来,网络安全的攻防战越发激烈,再加之软件应用的大爆发也带来了大量的账号,于是也就有了 LastPass 等密码管理器应运而生。通过记住一个密码管理「所有账户的不同密码」,密码管理器在一定程度上确实解决了安全和便利的矛盾。
不过风险实际在转移——一旦密码管理器的密码泄露,所有账户都将全数暴露。LastPass 作为用户规模最大的密码管理器之一,就多次遭遇了攻击泄露事件,最近的一次发生在去年 8 月。即便是公认更安全的 1Password 和 Bitwarden(开源),同样也有可能发生数据泄露安全事故。
也是看到个人密码在安全方面的风险,两步验证开始逐渐流行,比如手机短信和邮箱验证码或是基于时间的验证器密钥(安全性更高)。然而更安全的验证器始终没有流行开来,远比短信和邮箱验证码来得小众,使用成本上也确实更高,需要增加查看和复制一次性密钥的步骤,还要考虑时间。
通行密钥与密码的区别,图 / 苹果同样从身份证明这个角度出发,微软、谷歌和苹果主推的通行密钥,则将以往需要储存在服务器端的登录信息,替换为了非对称加密技术中的口令。当用户为某个账户创建通行密钥时,用户设备上会生成一对公私密钥,账户服务器只会获取并存储「公钥」,攻击者无法从服务器上的数据推导出存储在用户设备上,完成身份验证必需的「私钥」。并且因为没有「密码」,通行密钥也不存在「密码强度」「重复使用」等问题。
就像苹果认证体验团队的 Garrett Davidson 在去年 WWDC 上指出,有了通行密钥,重复使用、撞库、密码泄露和网络钓鱼等问题,都不再可能。
而在使用上,通行密钥与用户可信赖的设备绑定,支持设备上的指纹识别、Face ID、Windows Hello 以及 PIN 认证等。当然,用户也能将手机作为主要的验证设备,或者说「钥匙」来登录所有账户,不需要输入任何东西,一次识别就能实现身份验证,大大简化了过去两步验证 + 密码管理器 + 自动填写密码的形式。同时基于 FIDO 协议,用户可以使用 iPhone 上的通行密钥,在运行微软 Windows 的设备上登录谷歌 Chrome 浏览器。
凭借更安全的机制、更简单的验证步骤,几乎可以预见,通行密钥将完全取代密码。换句话说,可信赖的本地设备(比如手机)将在真正意义上成为我们不同网络身份的万能钥匙,打开的是一个「无密码」的世界。
责任编辑:hnmd003
相关阅读
-
全球快消息!增长 70%!比亚迪“王朝”重磅官宣!“秦”又卖爆了……
近日,比亚迪(002594)汽车发布了2023年4月份的品牌销量数据,共卖出了210295辆,其中乘用车销量达到了209
2023-05-05
相关阅读
-
没密码账号更安全,谷歌没在开玩笑
图片来源@视觉中国文|雷科技Ieitech时至今日,「账户」连同「密码」已经关联了我们太多的重要数据,但与此
-
最新资讯:西安“北跨”热度升温 金地都会之光与城市共融
西安“北跨”热度升温金地都会之光与城市共融金地集团凭借敏锐的洞察力,率先开发和推出了具有改善引领...
-
煤焦油商品报价动态(2023-05-05)-今头条
交易商品牌 产地交货地最新报价煤焦油 高温华东市场华东市场上海市2850元 吨华北市场华北河北省2750元 吨
-
中邮证券黄付生:全面注册制下,资本市场生态大变迁
2023年,全面注册制落地,资本市场生态大变迁。从2019年6月设立科创板并试点注册制,到如今全面实行股票发
-
当前快讯:中国人寿的学平险保什么?有哪些优点?
意外身故、意外伤残、疾病身故、意外医疗、住院津贴、重疾津贴、疾病门诊、急诊保障。 中国人寿的学平险对
-
众安百万医疗2023健康告知严格吗?要注意什么?
并不十分严格。 众安百万医疗2023是众安保险推出的一款最新百万医疗产品,经过全新升级后,该产品的健康告
-
保险赔偿不合理怎么办?可以投诉吗?
如果你认为自己受到了不合理的保险赔偿,可以先仔细阅读你所购买的保险合同,了解保险公司的理赔规定和流程
-
工伤流程走完多久拿到赔偿?流程是什么?
一般在2-3个月左右。因为工伤赔偿是一项复杂的法律程序,涉及多个环节和相关部门的协调配合。比如,企业需
-
网上众安保险是真的吗可相信吗?有必要买吗?
是真的,可以相信。 网上销售的众安保险产品都是由众安保险公司承保的,而众安保险是一家经过银保监会严格
-
急转直下!华润微:2022年业绩难以为继,今年一季度盈利能力指标全线溃-环球新视野
在此背景下,作为国内功率半导体龙头企业,华润微也将目光瞄准在新能源、工业控制、汽车电子等领域。2022年
-
无奋斗,不青春!新日幻影F9,活力无限!
又逢五四,春意盎然,青年风华正茂!青年,是祖国的栋梁,是未来的希望;他们年处芳华,努力奋斗,在逐...
-
传特斯拉德国工厂投产新款Model Y,搭载比亚迪刀片电池 每日信息
传特斯拉德国工厂投产新款ModelY,搭载比亚迪刀片电池盖世汽车讯据外媒报道,特斯拉德国柏林工厂刚刚开始生
-
环球动态:大众与博世放弃成立电池设备合资企业
大众与博世放弃成立电池设备合资企业博世首席执行官StefanHartung表示:“我们将不会成立合资企业。”
-
今日精选:输给你,让你去赢世界
这两天是女儿期中考试,昨天吃完晚饭我们一家三口陷入无事可干的状态,该复习的都复习了,再刷题也太费脑子
-
产假的规定的内容有什么呢?女职工劳动保护特别规定第七条有什么内容?
产假的规定:女职工生育享受98天产假,其中产前可以休假15天;女职工产假期间的生育津贴,对已经参加生育...
-
生育假和产假区别都有什么?计划生育主要是指什么内容?
计划生育假与产假的区别在于:1、计划生育主要是指计划生育手术者享受的假期待遇,各地休息天数略有不同...
-
法定产假多少天?女职工劳动保护特别规定第七条的内容都有什么?
国家规定的法定产假为98天。根据法律规定,女职工生育享受98天产假,其中产前可以休假15天;难产的,增加...
-
国家规定产假多少天?根据法律规定女职工生育享受多少天产假?
国家规定的法定产假为98天。根据法律规定,女职工生育享受98天产假,其中产前可以休假15天;难产的,增加...
-
国家规定的产假的内容有什么?女职工生育享受多少天的产假?
国家对产假的规定:《女职工劳动保护特别规定》第七条规定,女职工生育享受98天产假,其中产前可以休假1...
-
【天天聚看点】同花顺申请注册Chat相关商标
天眼查App显示,近日,浙江核新同花顺网络信息股份有限公司申请注册CHATBOND商标,国际分类为科学仪器、网
-
焦点热文:吉利成立融晶新能源公司,注册资本1800万
天眼查App显示,近日,桐庐融晶新能源有限公司成立,法定代表人蒋林杰,注册资本1800万,经营范围含新兴能
-
关注:“财小白”完成千万元天使轮融资
“财小白”宣布完成千万元天使轮融资,投资方为华盛人和资本。本轮融资资金将主要用于产品研发、品牌...
-
青海全域启动全类户口迁移“跨省通办”_快消息
青海省公安厅于4月底开始,在青海省全域范围内实行全类户口迁移事项“跨省通办”,并印发青海省全类户口...
-
岚图4月销量 3339辆,同比上涨210%
近日,岚图汽车公布2023年4月交付数据。2023年4月,岚图交付新车3339辆,同比上涨210%,环比上涨10%。
-
滚动:苹果发布 2023 财年第二财季财报
品玩5月5日讯,苹果发布2023财年第二财季财报,苹果该季度营收为948 4亿美元,同比下降2 5%,市场预期为929
-
【环球时快讯】赛力斯 4 月新能源汽车销量 6917 辆
品玩5月4日讯,赛力斯今天发布的公告显示,赛力斯4月新能源汽车销量6917辆,同比下降19 12%。其中赛力斯汽
-
特斯拉中国上调全新 Model S 及全新 Model X 全系车型 环球速看料
品玩5月5日讯,特斯拉中国官网显示,全新ModelS及全新ModelX全系车型上调售价19000元。调整后,ModelS起售
-
世界新动态:骁龙 8 Gen2 霸榜!4 月份安兔兔安卓手机性能排行榜出炉
手机应用软件APP功能的丰富化,尤其是大型手游全方位提升的需求,促使手机性能水准也在不断提升。其实,如
-
产假天数一般是多少天?女职工劳动保护特别规定第七条内容是什么?
孕妇产假一般98天,难产的增加15天;生育多胞胎的,每多生育1个婴儿,增加产假15天。女职工产假期间的生...
-
产假规定都有哪些内容?女职工劳动保护特别规定第七条都有什么内容?
产假的规定:女职工生育享受98天产假,其中产前可以休假15天;女职工产假期间的生育津贴,对已经参加生育...
精彩推荐
阅读排行
精彩推送
- 产假工资怎么算?女职工劳动保护...
- 产假多少天?女职工的生育津贴是...
- 合同纠纷管辖法院如何确定?向原...
- 试用期工资不低于多少?中华人民...
- 婚姻破裂的判定标准有哪些?婚姻...
- 试用期工资标准是怎么样的?中华...
- 试用期工资怎么算?试用期的期限...
- 民事诉讼的当事人有哪些?民事诉...
- 试用期的规定的内容有哪些?劳动...
- 试用期辞职流程是怎么样的?中华...
- 民事诉讼参与人是什么意思?民事...
- 试用期规定的内容都有什么?劳动...
- 试用期可以随时辞职吗?劳动合同...
- 试用期被辞退有补偿吗?试用期辞...
- 民事诉讼时效中断是什么意思?民...
- 结婚户口迁移手续是怎么样的?中...
- 民事诉讼周期多长时间?欠债超过...
- 不结婚孩子能上户口吗?民法典一...
- “祝融号”有重大发现!
- 居住证是户口本吗?居住证暂行条...
- 集体户口迁移手续是怎么样的?中...
- 民事诉讼法第三人是当事人吗?民...
- 上海户口政策都有什么?上海市引...
- 办理北京户口的方法有哪些?中华...
- 刑事诉讼和民事诉讼有什么区别?...
- 办理户口迁移手续都需要哪些?户...
- 户口迁出手续都有什么流程?中华...
- 户口本丢了怎么办?中华人民共和...
- 怎么查户口?居民的的户口所在地...
- 上海户口申请条件是什么?上海市...