今天,“账号”和“密码”已经关联了太多重要的数据,但同时,世界上使用最多的密码是什么?
2022年,NordPass搜索了容量为3TB的全球密码库,发现是:password。“密码”二字的背后是“123456”、“123456789”、“QWERTY”等流行的密码,早在十年前就“风靡”全球。
你能想象地球上的人有多懒吗?十年没有了。
诚然,懒得去记忆或琢磨一个个人密码系统是一回事,但另一方面,因为密码的问题太多了,早就有人主张砍掉“用户名-密码”的安全体系,代之以“无密码登录”。
在今年的世界密码日之前,谷歌在官方博客上发布消息称,之前测试的Passkey免密码登录功能将向所有用户推出,用户无需输入密码即可直接完成基于可信设备的生物识别验证。其实不止谷歌,微软甚至早在2021年9月就宣布了免密码登录功能。它还支持用户从他们的帐户中完全删除密码,并仅通过生物识别技术登录。自然,就不会有密码泄露的问题。
此外,作为全球最重要的操作系统厂商,谷歌、微软和苹果也在去年的世界密码日(5月5日)联合宣布,未来一年将致力于在其控制的所有移动、桌面和浏览器平台上构建无密码登录系统。
从互联网早期到今天,一个好的密码怎么可能不受大家欢迎?
密码已经泄露了。我能证明我是谁?
去年6月,大学生学习软件“超星学习链”曝出大规模被拖进图书馆事件,1.7273亿条用户数据被泄露,包括姓名、手机号、性别、学校、学号、邮箱、密码等信息。该消息随后冲上微博热搜,大量巨星学习通用户反映接到外地甚至海外的诈骗电话,还提到对方能准确报出身份证号等关键信息。
事件发生后,多所高校也收到了教育网的相关通知,通知显示,不仅确认超星学习通泄露大量用户数据,而且涉及全国大量高校,紧急安全响应为a级,同时通知也提醒各位老师同学:
与此同时,在过去的几年里,世界各地都有账户密码被泄露的情况。根据网络安全公司SpyCloud发布的2023年身份暴露报告,研究人员仅去年一年就在互联网上发现了7.215亿个泄露的密码,其中一半来自僵尸网络——被恶意软件感染并被黑客控制的计算机网络。
如果涉及微信、支付宝、银行、电商平台等重点账户,不仅会极大影响日常生活,还会触及极其敏感的财产安全。一旦泄露,可能会造成不可挽回的损失。另一方面,用户也要面对密码泄露的成本。一些帐户可能能够自己更改密码,这只是需要一些可预测的时间。对于其他被篡改的账号,用户可能需要提供足够的信息来“证明你就是你”。
本质上,密码是证明身份的工具,这也正是问题所在——密码归根结底只是一串文本。无论是撞库、钓鱼邮件还是僵尸网络,作为识别工具的密码太容易被泄露和窃取。密码管理器和两步验证可以提高密码的保护性,但是除了学习和使用成本高之外,并不能改变密码容易被窃取和篡改的本质。
个人密码,从进入到放弃
账号密码几乎是随着早期的互联网而产生的,最典型的应用就是电子邮件。但对于中国的90后来说,可能是他们记住了自己在QQ上的第一个账号和密码。甚至在QQ出现的新千年之初,随着大量网站和软件的出现,网民注册了一个又一个账号。事实上,大多数人只能记住几个用户名和密码,而且往往是重复使用同一个密码或者使用“手写密码”这种愚蠢的方法。
但后来网络安全的攻防愈演愈烈,软件应用的爆炸也带来了大量的账号,于是LastPass等密码管理器应运而生。通过记住一个密码来管理“所有账户不同密码”,密码管理器确实在一定程度上解决了安全性和便捷性的矛盾。
但风险其实是在转移的——一旦密码管理器的密码泄露,所有账户都会暴露。LastPass作为用户最大的密码管理器之一,已经遭受了多次攻击和泄露,最近一次发生在去年8月。即使是公认安全性更高的1Password和Bitwarden(开源),也可能造成数据泄露安全事故。
看到个人密码的安全隐患,两步验证逐渐流行起来,比如短信和邮件验证码或者基于时间的验证器密钥(安全性更高)。但更安全的验证器一直没有普及,远不如短信和邮件验证码普及,使用成本也确实更高。需要增加查看和复制一次性密钥的步骤,并考虑时间。
密码和密码的区别,图/苹果
同样是从身份识别的角度,微软、谷歌、苹果推广的密码用非对称加密技术中的密码代替了需要存储在服务器端的登录信息。当用户为账户创建密码时,会在用户的设备上生成一对公钥和私钥,账户服务器只会获取并存储“公钥”,因此攻击者无法从服务器上的数据推导出存储在用户设备上的“私钥”来完成认证。而且因为没有“密码”,所以不存在“密码强度”和pass key“重用”等问题。
正如苹果认证体验团队的Garrett Davidson去年在WWDC指出的那样,有了密码,重复使用、库碰撞、密码泄露、网络钓鱼等问题都不再可能。
在使用中,pass key被绑定到用户可以信任的设备上,并在设备上支持指纹识别、Face ID、Windows Hello和PIN认证。当然,用户也可以使用手机作为主要的认证设备,或者“钥匙”登录所有账户。不需要输入任何东西,就可以一次实现身份认证,大大简化了过去两步验证+密码管理器+自动填写密码的形式。同时,基于FIDO协议,用户可以使用iPhone上的passkey在运行微软Windows的设备上登录谷歌Chrome浏览器。
有了更安全的机制和更简单的验证步骤,几乎可以预见密码将被密码完全取代。换句话说,可信的本地设备(如手机)将真正成为我们不同网络身份的万能钥匙,开启一个没有密码的世界。
