简体 | 繁体
loading...
新闻频道
  • 首页
  • 新闻
  • 读图
  • 财经
  • 教育
  • 家居
  • 健康
  • 美食
  • 时尚
  • 旅游
  • 影视
  • 博客
  • 群吧
  • 论坛
  • 电台
  • 焦点新闻
  • 图片新闻
  • 视频新闻
  • 生活百态
  • 娱乐新闻
您的位置: 文学城 » 新闻 » 焦点新闻 » 没密码账号更安全,谷歌没在开玩笑

没密码账号更安全,谷歌没在开玩笑

文章来源: 综合新闻 于 2023-05-05 02:34:04 - 新闻取自各大新闻媒体,新闻内容并不代表本网立场!
被阅读次数


图片来源 @视觉中国

文 | 雷科技 Ieitech

时至今日,「账户」连同「密码」已经关联了我们太多的重要数据,但与此同时,世界上最多人使用的密码又是什么?

2022 年,NordPass 在检索 3TB 容量的全球密码库后发现是:password(密码)。排在「password」后面的还有「123456」「123456789」「qwerty」这类大家喜闻乐见的密码,而这些密码早在十年前就已经「流行」全球。

可想而知地球人是有多懒?十年都不带换。

诚然,懒得花费精力记忆或者琢磨一套个人的密码系统是一方面,但另一方面也是一位因为密码天然存在太多问题,很早就有人主张砍掉「用户名 - 密码」的安全体系,用「无密码登录」取而代之。

赶在今年的世界密码日前,谷歌在官方博客发文宣布,此前在测试的 Passkey(通行密钥)无密码登录功能将向所有用户推出,用户可以基于信任的设备直接完成生物验证,而不用输入密码。事实上不仅是谷歌,微软甚至早在 2021 年 9 月宣布了无密码登录功能,还支持用户在账户中完全删除密码,仅依靠生物识别进行登录,自然也就不存在密码泄露的问题。

另外,作为全球最重要操作系统厂商,谷歌、微软和苹果还在去年的世界密码日(5 月 5 日)联合宣布,他们将致力于在未来一年,在其控制的所有移动、桌面和浏览器平台上打造无密码登录系统。

从互联网早期一直流行到今天,好端端的密码怎么就不受大家的待见了?

密码泄露了,拿什么证明我是谁?

去年 6 月,大学生学习软件「超星学习通」曝出了大规模被拖库事件,1 亿 7273 万条用户数据遭到泄露,包括姓名、手机号、性别、学校、学号、邮箱、密码等信息。该消息随后冲上微博热搜,大量超星学习通用户都反映收到了外地乃至境外的诈骗电话,还提到对方能准确报出身份证号等关键信息。

事件发生后,不少高校也都接到教育网的相关通知,显示不仅确认超星学习通泄露了大量用户数据,并涉及全国大量高校,应急安全响应为 A 级。同时通知还提醒老师和同学:

「如果您其他系统密码与超星学习通密码一致,请尽快修改为新密码,严防撞库对自己产生更大危害,谨防诈骗。」

与此同时,过去几年全球不断发生账户密码泄露事件,根据网络安全公司 SpyCloud 发布的 2023 年身份暴露报告,研究人员仅去年就在网上发现了 7.215 亿个被泄露的密码,其中一半来自僵尸网络——被恶意软件感染并被黑客控制的计算机网络。

如果涉及微信、支付宝、银行和电商平台这类关键账户,不仅会极大地影响日常生活,也触碰到了极为敏感的财产安全,一旦泄露可能引起无可挽回的损失。另一方面,用户也要面对密码泄露的成本,一部分账号或许可以自助修改密码,无非花费一些可预计的时间,另一部分已经被篡改的账号,可能就需要用户提供足够的信息「证明你是你」。

本质上密码就是用来证明身份的工具,问题也恰恰于此——密码说到底也只是一串文本。不管是撞库、钓鱼邮件还是僵尸网络,作为身份证明工具的密码都太容易泄露和盗用,密码管理器和两步验证可以完善对「密码」的保护,但除了较高的学习和使用成本,并不能改变密码容易被盗用和篡改的本质。

个人密码,从入门到放弃

账号密码几乎是伴随着早期互联网而起,最典型的应用就是邮箱,但对中国 90 年后生人来说,可能更多是在 QQ 上记住了第一个账户和密码。而即便是在 QQ 兴起的新千年初,随着大量网站和软件的涌现,互联网用户注册了一个又一个账户,大部分人事实上只能记住少数的用户名和密码,很多时候都是重复使用同样的密码,或是用上「手写密码」这种笨方法。

但到后来,网络安全的攻防战越发激烈,再加之软件应用的大爆发也带来了大量的账号,于是也就有了 LastPass 等密码管理器应运而生。通过记住一个密码管理「所有账户的不同密码」,密码管理器在一定程度上确实解决了安全和便利的矛盾。

不过风险实际在转移——一旦密码管理器的密码泄露,所有账户都将全数暴露。LastPass 作为用户规模最大的密码管理器之一,就多次遭遇了攻击泄露事件,最近的一次发生在去年 8 月。即便是公认更安全的 1Password 和 Bitwarden(开源),同样也有可能发生数据泄露安全事故。

也是看到个人密码在安全方面的风险,两步验证开始逐渐流行,比如手机短信和邮箱验证码或是基于时间的验证器密钥(安全性更高)。然而更安全的验证器始终没有流行开来,远比短信和邮箱验证码来得小众,使用成本上也确实更高,需要增加查看和复制一次性密钥的步骤,还要考虑时间。

通行密钥与密码的区别,图 / 苹果

同样从身份证明这个角度出发,微软、谷歌和苹果主推的通行密钥,则将以往需要储存在服务器端的登录信息,替换为了非对称加密技术中的口令。当用户为某个账户创建通行密钥时,用户设备上会生成一对公私密钥,账户服务器只会获取并存储「公钥」,攻击者无法从服务器上的数据推导出存储在用户设备上,完成身份验证必需的「私钥」。并且因为没有「密码」,通行密钥也不存在「密码强度」「重复使用」等问题。

就像苹果认证体验团队的 Garrett Davidson 在去年 WWDC 上指出,有了通行密钥,重复使用、撞库、密码泄露和网络钓鱼等问题,都不再可能。

而在使用上,通行密钥与用户可信赖的设备绑定,支持设备上的指纹识别、Face ID、Windows Hello 以及 PIN 认证等。当然,用户也能将手机作为主要的验证设备,或者说「钥匙」来登录所有账户,不需要输入任何东西,一次识别就能实现身份验证,大大简化了过去两步验证 + 密码管理器 + 自动填写密码的形式。同时基于 FIDO 协议,用户可以使用 iPhone 上的通行密钥,在运行微软 Windows 的设备上登录谷歌 Chrome 浏览器。

凭借更安全的机制、更简单的验证步骤,几乎可以预见,通行密钥将完全取代密码。换句话说,可信赖的本地设备(比如手机)将在真正意义上成为我们不同网络身份的万能钥匙,打开的是一个「无密码」的世界。

查看评论(5)
  • 文学城简介
  • 广告服务
  • 联系我们
  • 招聘信息
  • 注册笔名
  • 申请版主
  • 收藏文学城

WENXUECITY.COM does not represent or guarantee the truthfulness, accuracy, or reliability of any of communications posted by other users.

Copyright ©1998-2025 wenxuecity.com All rights reserved. Privacy Statement & Terms of Use & User Privacy Protection Policy

24小时热点排行

巴伦申请哈佛被拒?梅拉尼娅打破沉默
81岁退休校长街头拾荒被昔日学生认出:我很好!
哈里王子低调现身上海谈环保,使用公爵头衔
两岁神童成门萨最年轻会员:七个月说话,智商超群
可怕!UC女生晚上在校园散步 被拖到路边强奸

24小时讨论排行

“川普永远会退缩”成流行语 川普:那是谈判技巧
万斯大骂:人工智能是“共产主义技术”
中国拼命“挖运河” 背后是真正的国运之战
胡锡进:性萧条导致消费低迷 反对“万恶淫为首”观念
悲剧!爸爸教女儿学车 车辆从二楼冲出 当场身亡
川普:哈佛外国学生数限制在15% 并提供学生名单
上亿豪宅“英之园”一夜间夷平 官方曾提充公遭拒
白宫遭设局“伏击” 南非总统:我当时完全懵了......
哈佛之后是加州大学?特朗普政府准备大规模指控
让学生拉不出屎,是社会的失败,是新的民族耻辱
川普赦免诈骗+漏税真人秀夫妇:他们该有第2次机会
川普让美国不再是投资天堂 7.5万亿亚洲资金出逃潮
美股急升,美国国际贸易法院阻止对等关税生效
“大美丽法案”的隐藏条款 或将终结美国现行民主制度
坑人!华人$700万豪宅仅仅1.7万被拍卖 原因竟是…
通胀、胜利与牺牲:我的莫斯科见闻
文学城新闻
切换到网页版

没密码账号更安全,谷歌没在开玩笑

综合新闻 2023-05-05 02:34:04


图片来源 @视觉中国

文 | 雷科技 Ieitech

时至今日,「账户」连同「密码」已经关联了我们太多的重要数据,但与此同时,世界上最多人使用的密码又是什么?

2022 年,NordPass 在检索 3TB 容量的全球密码库后发现是:password(密码)。排在「password」后面的还有「123456」「123456789」「qwerty」这类大家喜闻乐见的密码,而这些密码早在十年前就已经「流行」全球。

可想而知地球人是有多懒?十年都不带换。

诚然,懒得花费精力记忆或者琢磨一套个人的密码系统是一方面,但另一方面也是一位因为密码天然存在太多问题,很早就有人主张砍掉「用户名 - 密码」的安全体系,用「无密码登录」取而代之。

赶在今年的世界密码日前,谷歌在官方博客发文宣布,此前在测试的 Passkey(通行密钥)无密码登录功能将向所有用户推出,用户可以基于信任的设备直接完成生物验证,而不用输入密码。事实上不仅是谷歌,微软甚至早在 2021 年 9 月宣布了无密码登录功能,还支持用户在账户中完全删除密码,仅依靠生物识别进行登录,自然也就不存在密码泄露的问题。

另外,作为全球最重要操作系统厂商,谷歌、微软和苹果还在去年的世界密码日(5 月 5 日)联合宣布,他们将致力于在未来一年,在其控制的所有移动、桌面和浏览器平台上打造无密码登录系统。

从互联网早期一直流行到今天,好端端的密码怎么就不受大家的待见了?

密码泄露了,拿什么证明我是谁?

去年 6 月,大学生学习软件「超星学习通」曝出了大规模被拖库事件,1 亿 7273 万条用户数据遭到泄露,包括姓名、手机号、性别、学校、学号、邮箱、密码等信息。该消息随后冲上微博热搜,大量超星学习通用户都反映收到了外地乃至境外的诈骗电话,还提到对方能准确报出身份证号等关键信息。

事件发生后,不少高校也都接到教育网的相关通知,显示不仅确认超星学习通泄露了大量用户数据,并涉及全国大量高校,应急安全响应为 A 级。同时通知还提醒老师和同学:

「如果您其他系统密码与超星学习通密码一致,请尽快修改为新密码,严防撞库对自己产生更大危害,谨防诈骗。」

与此同时,过去几年全球不断发生账户密码泄露事件,根据网络安全公司 SpyCloud 发布的 2023 年身份暴露报告,研究人员仅去年就在网上发现了 7.215 亿个被泄露的密码,其中一半来自僵尸网络——被恶意软件感染并被黑客控制的计算机网络。

如果涉及微信、支付宝、银行和电商平台这类关键账户,不仅会极大地影响日常生活,也触碰到了极为敏感的财产安全,一旦泄露可能引起无可挽回的损失。另一方面,用户也要面对密码泄露的成本,一部分账号或许可以自助修改密码,无非花费一些可预计的时间,另一部分已经被篡改的账号,可能就需要用户提供足够的信息「证明你是你」。

本质上密码就是用来证明身份的工具,问题也恰恰于此——密码说到底也只是一串文本。不管是撞库、钓鱼邮件还是僵尸网络,作为身份证明工具的密码都太容易泄露和盗用,密码管理器和两步验证可以完善对「密码」的保护,但除了较高的学习和使用成本,并不能改变密码容易被盗用和篡改的本质。

个人密码,从入门到放弃

账号密码几乎是伴随着早期互联网而起,最典型的应用就是邮箱,但对中国 90 年后生人来说,可能更多是在 QQ 上记住了第一个账户和密码。而即便是在 QQ 兴起的新千年初,随着大量网站和软件的涌现,互联网用户注册了一个又一个账户,大部分人事实上只能记住少数的用户名和密码,很多时候都是重复使用同样的密码,或是用上「手写密码」这种笨方法。

但到后来,网络安全的攻防战越发激烈,再加之软件应用的大爆发也带来了大量的账号,于是也就有了 LastPass 等密码管理器应运而生。通过记住一个密码管理「所有账户的不同密码」,密码管理器在一定程度上确实解决了安全和便利的矛盾。

不过风险实际在转移——一旦密码管理器的密码泄露,所有账户都将全数暴露。LastPass 作为用户规模最大的密码管理器之一,就多次遭遇了攻击泄露事件,最近的一次发生在去年 8 月。即便是公认更安全的 1Password 和 Bitwarden(开源),同样也有可能发生数据泄露安全事故。

也是看到个人密码在安全方面的风险,两步验证开始逐渐流行,比如手机短信和邮箱验证码或是基于时间的验证器密钥(安全性更高)。然而更安全的验证器始终没有流行开来,远比短信和邮箱验证码来得小众,使用成本上也确实更高,需要增加查看和复制一次性密钥的步骤,还要考虑时间。

通行密钥与密码的区别,图 / 苹果

同样从身份证明这个角度出发,微软、谷歌和苹果主推的通行密钥,则将以往需要储存在服务器端的登录信息,替换为了非对称加密技术中的口令。当用户为某个账户创建通行密钥时,用户设备上会生成一对公私密钥,账户服务器只会获取并存储「公钥」,攻击者无法从服务器上的数据推导出存储在用户设备上,完成身份验证必需的「私钥」。并且因为没有「密码」,通行密钥也不存在「密码强度」「重复使用」等问题。

就像苹果认证体验团队的 Garrett Davidson 在去年 WWDC 上指出,有了通行密钥,重复使用、撞库、密码泄露和网络钓鱼等问题,都不再可能。

而在使用上,通行密钥与用户可信赖的设备绑定,支持设备上的指纹识别、Face ID、Windows Hello 以及 PIN 认证等。当然,用户也能将手机作为主要的验证设备,或者说「钥匙」来登录所有账户,不需要输入任何东西,一次识别就能实现身份验证,大大简化了过去两步验证 + 密码管理器 + 自动填写密码的形式。同时基于 FIDO 协议,用户可以使用 iPhone 上的通行密钥,在运行微软 Windows 的设备上登录谷歌 Chrome 浏览器。

凭借更安全的机制、更简单的验证步骤,几乎可以预见,通行密钥将完全取代密码。换句话说,可信赖的本地设备(比如手机)将在真正意义上成为我们不同网络身份的万能钥匙,打开的是一个「无密码」的世界。