您当前的位置:首页 > 电脑百科 > 网络技术 > 网络安全

没密码账号更安全,谷歌没在开玩笑

时间:2023-05-06 12:29:53  来源:钛媒体APP  作者:

图片来源@视觉中国

文 | 雷科技Ieitech

时至今日,「账户」连同「密码」已经关联了我们太多的重要数据,但与此同时,世界上最多人使用的密码又是什么?

2022 年,NordPass 在检索 3TB 容量的全球密码库后发现是:password(密码)。排在「password」后面的还有「123456」「123456789」「qwerty」这类大家喜闻乐见的密码,而这些密码早在十年前就已经「流行」全球。

可想而知地球人是有多懒?十年都不带换。

诚然,懒得花费精力记忆或者琢磨一套个人的密码系统是一方面,但另一方面也是一位因为密码天然存在太多问题,很早就有人主张砍掉「用户名-密码」的安全体系,用「无密码登录」取而代之。

赶在今年的世界密码日前,谷歌在官方博客发文宣布,此前在测试的 Passkey(通行密钥)无密码登录功能将向所有用户推出,用户可以基于信任的设备直接完成生物验证,而不用输入密码。事实上不仅是谷歌,微软甚至早在 2021 年 9 月宣布了无密码登录功能,还支持用户在账户中完全删除密码,仅依靠生物识别进行登录,自然也就不存在密码泄露的问题。

另外,作为全球最重要操作系统厂商,谷歌、微软和苹果还在去年的世界密码日(5 月 5 日)联合宣布,他们将致力于在未来一年,在其控制的所有移动、桌面和浏览器平台上打造无密码登录系统。

从互联网早期一直流行到今天,好端端的密码怎么就不受大家的待见了?

密码泄露了,拿什么证明我是谁?

去年 6 月,大学生学习软件「超星学习通」曝出了大规模被拖库事件,1 亿 7273 万条用户数据遭到泄露,包括姓名、手机号、性别、学校、学号、邮箱、密码等信息。该消息随后冲上微博热搜,大量超星学习通用户都反映收到了外地乃至境外的诈骗电话,还提到对方能准确报出身份证号等关键信息。

事件发生后,不少高校也都接到教育网的相关通知,显示不仅确认超星学习通泄露了大量用户数据,并涉及全国大量高校,应急安全响应为 A 级。同时通知还提醒老师和同学:

「如果您其他系统密码与超星学习通密码一致,请尽快修改为新密码,严防撞库对自己产生更大危害,谨防诈骗。」

与此同时,过去几年全球不断发生账户密码泄露事件,根据网络安全公司 SpyCloud 发布的 2023 年身份暴露报告,研究人员仅去年就在网上发现了 7.215 亿个被泄露的密码,其中一半来自僵尸网络——被恶意软件感染并被黑客控制的计算机网络。

如果涉及微信、支付宝、银行和电商平台这类关键账户,不仅会极大地影响日常生活,也触碰到了极为敏感的财产安全,一旦泄露可能引起无可挽回的损失。另一方面,用户也要面对密码泄露的成本,一部分账号或许可以自助修改密码,无非花费一些可预计的时间,另一部分已经被篡改的账号,可能就需要用户提供足够的信息「证明你是你」。

本质上密码就是用来证明身份的工具,问题也恰恰于此——密码说到底也只是一串文本。不管是撞库、钓鱼邮件还是僵尸网络,作为身份证明工具的密码都太容易泄露和盗用,密码管理器和两步验证可以完善对「密码」的保护,但除了较高的学习和使用成本,并不能改变密码容易被盗用和篡改的本质。

个人密码,从入门到放弃

账号密码几乎是伴随着早期互联网而起,最典型的应用就是邮箱,但对中国 90 年后生人来说,可能更多是在 QQ 上记住了第一个账户和密码。而即便是在 QQ 兴起的新千年初,随着大量网站和软件的涌现,互联网用户注册了一个又一个账户,大部分人事实上只能记住少数的用户名和密码,很多时候都是重复使用同样的密码,或是用上「手写密码」这种笨方法。

但到后来,网络安全的攻防战越发激烈,再加之软件应用的大爆发也带来了大量的账号,于是也就有了 LastPass 等密码管理器应运而生。通过记住一个密码管理「所有账户的不同密码」,密码管理器在一定程度上确实解决了安全和便利的矛盾。

不过风险实际在转移——一旦密码管理器的密码泄露,所有账户都将全数暴露。LastPass 作为用户规模最大的密码管理器之一,就多次遭遇了攻击泄露事件,最近的一次发生在去年 8 月。即便是公认更安全的 1Password 和 Bitwarden(开源),同样也有可能发生数据泄露安全事故。

也是看到个人密码在安全方面的风险,两步验证开始逐渐流行,比如手机短信和邮箱验证码或是基于时间的验证器密钥(安全性更高)。然而更安全的验证器始终没有流行开来,远比短信和邮箱验证码来得小众,使用成本上也确实更高,需要增加查看和复制一次性密钥的步骤,还要考虑时间。

通行密钥与密码的区别,图/苹果

同样从身份证明这个角度出发,微软、谷歌和苹果主推的通行密钥,则将以往需要储存在服务器端的登录信息,替换为了非对称加密技术中的口令。当用户为某个账户创建通行密钥时,用户设备上会生成一对公私密钥,账户服务器只会获取并存储「公钥」,攻击者无法从服务器上的数据推导出存储在用户设备上,完成身份验证必需的「私钥」。并且因为没有「密码」,通行密钥也不存在「密码强度」「重复使用」等问题。

就像苹果认证体验团队的 Garrett Davidson 在去年 WWDC 上指出,有了通行密钥,重复使用、撞库、密码泄露和网络钓鱼等问题,都不再可能。

而在使用上,通行密钥与用户可信赖的设备绑定,支持设备上的指纹识别、Face ID、windows Hello 以及 PIN 认证等。当然,用户也能将手机作为主要的验证设备,或者说「钥匙」来登录所有账户,不需要输入任何东西,一次识别就能实现身份验证,大大简化了过去两步验证+密码管理器+自动填写密码的形式。同时基于 FIDO 协议,用户可以使用 iphone 上的通行密钥,在运行微软 Windows 的设备上登录谷歌 Chrome 浏览器。

凭借更安全的机制、更简单的验证步骤,几乎可以预见,通行密钥将完全取代密码。换句话说,可信赖的本地设备(比如手机)将在真正意义上成为我们不同网络身份的万能钥匙,打开的是一个「无密码」的世界。



Tags:密码   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,不构成投资建议。投资者据此操作,风险自担。如有任何标注错误或版权侵犯请与我们联系,我们将及时更正、删除。
▌相关推荐
注意!密码、验证码都没说,钱是怎么被骗走的?
转自:科普中国“我密码和验证码都没有给他,为什么钱还是被骗子骗走了?”骗子是怎么做到的呢?真实案例今年1月,武汉市民张某在家接到一陌生电话,电话自称是某平台的客服,告诉张某购...【详细内容】
2024-04-11  Search: 密码  点击:(4)  评论:(0)  加入收藏
电脑怎么重新设置密码?
数字化时代,每个人的生活都与各种密码紧密相连。电脑密码作为保护个人隐私和数据安全的第一道防线,重要性不言而喻。忘记电脑密码是个普遍且棘手的问题。本文将详细介绍在不同...【详细内容】
2024-04-11  Search: 密码  点击:(3)  评论:(0)  加入收藏
数字社交的新典范:解析Facebook的成功密码
在当今数字化时代,社交媒体已经成为人们日常生活的重要组成部分,而Facebook作为最知名的社交媒体平台之一,其成功之处备受瞩目。本文将深入解析Facebook的成功密码,探讨其在数字...【详细内容】
2024-04-10  Search: 密码  点击:(3)  评论:(0)  加入收藏
手机就可以修改WiFi密码,进行网络提速,还能防止别人蹭网
随着网络的普及和使用频率的增加,很多人可能遇到了一些网络管理上的问题,比如忘记了WiFi密码、网络速度缓慢、或者发现有不明设备在家中蹭网。相信朋友们也曾遇到过吧?但是,你知...【详细内容】
2024-04-03  Search: 密码  点击:(6)  评论:(0)  加入收藏
未来5年微短剧或撬动千亿市场 短剧的下一个“财富密码”是它?
数据来源:中国网络视听发展报告(2024)“当下,网络视听是全球最大最火爆、最有前途,且充满活力的行业之一。而短剧尤其是微短剧以及延伸出来的网络新型直播,是目前中国和全球网络视...【详细内容】
2024-03-28  Search: 密码  点击:(13)  评论:(0)  加入收藏
中国三大运营商共同发布通过GSMA Open Gateway认证的一次性密码 API
3月26日,北京:中国三大领先的移动运营商——中国移动、中国电信和中国联通今日发布商用OTP API(一次性密码API)服务,并通过了GSMA Open Gateway认证。此次发布标志着中...【详细内容】
2024-03-26  Search: 密码  点击:(22)  评论:(0)  加入收藏
微信转账时弹出“这一行字”,别急着输付款密码,已有不少人中招
在我们日常生活中,微信转账已经成为了一种非常便捷的支付方式。然而,就在我们使用这种支付方式时,有时会遇到一些看似平常却隐藏着风险的提示信息。今天,我就要提醒大家,如果在微...【详细内容】
2024-03-14  Search: 密码  点击:(16)  评论:(0)  加入收藏
手机设置指纹好还是密码好?
近日,我和一位朋友正在一家咖啡馆品茶聊天,话题自然而然地转到了手机的安全性。我拿起咖啡杯,微笑着问道:“你觉得手机指纹锁好,还是密码锁更安全呢?”这个问题引发了我们长达数小...【详细内容】
2024-03-11  Search: 密码  点击:(11)  评论:(0)  加入收藏
忘记Word文档密码?教你如何快速解密解决!
在网上找回word文档密码、去除word文档密码非常简单。具体步骤如下:1.百度搜索““六牛助手”官网”;2.点击“立即开始”并在用户中心上传需要解密的文件,稍等片刻即可找回密码...【详细内容】
2024-03-01  Search: 密码  点击:(25)  评论:(0)  加入收藏
人人都该懂密码学,通用密码学原理与应用实战|完结无密
来百度APP畅享高清图片//下栽のke:http://quangneng.com/4061/标题:人人都该懂密码学:通用密码学原理与应用实战在当今数字化的世界中,密码学已经成为了信息安全的核心。不论是...【详细内容】
2024-02-06  Search: 密码  点击:(50)  评论:(0)  加入收藏
▌简易百科推荐
网络安全行业的春天何时来?
2023年下半年开始,网络安全从业人员都感受到了网安行业的寒冬,但是其实前奏并不是此刻,只是涉及到大量裁员关乎自身而人人感同身受。从近五年各个网络安全上市公司财报可以发现...【详细内容】
2024-04-11  兰花豆说网络安全    Tags:网络安全   点击:(1)  评论:(0)  加入收藏
数据可视化在网络安全中的关键作用
在当今数字化时代,网络安全已成为各大企业乃至国家安全的重要组成部分。随着网络攻击的日益复杂和隐蔽,传统的网络安全防护措施已难以满足需求,急需新型的解决方案以增强网络防...【详细内容】
2024-03-29  小嵩鼠    Tags:数据可视化   点击:(19)  评论:(0)  加入收藏
AI时代的网络安全:探索AI生成的网络攻击
译者 | 晶颜审校 | 重楼长期以来,网络攻击一直是劳动密集型的,需要经过精心策划并投入大量的人工研究。然而,随着人工智能技术的出现,威胁行为者已经成功利用它们的能力,以非凡的...【详细内容】
2024-03-27    51CTO  Tags:网络安全   点击:(14)  评论:(0)  加入收藏
详解渗透测试和漏洞扫描的开源自动化解决方案
译者 | 刘涛审校 | 重楼目录 什么是渗透测试 规划和侦察 扫描 开发和获得访问权限 维持访问权 报告和控制 什么是漏洞扫描 渗透测试工具 渗透测试的自动化 渗透自动化工作流...【详细内容】
2024-02-27    51CTO  Tags:渗透测试   点击:(26)  评论:(0)  加入收藏
如何保护你的电脑不受黑客攻击
在数字时代,网络安全已经成为每个人必须关注的重要问题。黑客攻击、数据泄露和网络犯罪等事件频频发生,使得我们的个人隐私和财产安全面临严重威胁。那么,如何保护你的电脑不受...【详细内容】
2024-02-04  佳慧慧    Tags:黑客攻击   点击:(50)  评论:(0)  加入收藏
2024年需要高度关注的六大网络安全威胁
译者 | 晶颜审校 | 重楼创新技术(如生成式人工智能、无代码应用程序、自动化和物联网)的兴起和迅速采用,极大地改变了每个行业的全球网络安全和合规格局。网络犯罪分子正在转向...【详细内容】
2024-01-03    51CTO  Tags:网络安全威胁   点击:(109)  评论:(0)  加入收藏
终端设备通信网络安全防护方案
终端设备的网络安全是一个综合性问题,需要用户、组织和厂商共同努力,采取一系列的措施来保护终端设备的安全。终端设备网络安全防护方案主要包括以下几个方面:1. 强化用户身份...【详细内容】
2024-01-01  若水叁仟    Tags:网络安全   点击:(53)  评论:(0)  加入收藏
深入解析802.1X认证:网络安全的守护者
802.1X认证,对于很多人来说,可能只是一个陌生的技术名词。然而,在网络安全的领域中,它却扮演着守护者的角色。今天,我们就来深入解析802.1X认证,看看它是如何保护我们的网络安全的...【详细内容】
2023-12-31  韦希喜    Tags:网络安全   点击:(66)  评论:(0)  加入收藏
提升网络安全:ADSelfService Plus多重身份验证的关键
在当今数字化的时代,网络安全问题愈发突出,企业和组织面临着日益严峻的挑战。为了应对不断进化的网络威胁,越来越多的组织开始采用多层次的安全措施,其中多重身份验证成为了关键...【详细内容】
2023-12-27  运维有小邓    Tags:网络安全   点击:(87)  评论:(0)  加入收藏
企业如何应对网络钓鱼攻击的激增?
随着我们进入数字时代,网络犯罪的威胁继续以惊人的速度增长。在最流行的网络犯罪形式中,网络钓鱼仅在过去一年就出现了472%的攻击激增。企业在保护自己及其客户免受网络钓鱼诈...【详细内容】
2023-12-19    千家网  Tags:钓鱼攻击   点击:(81)  评论:(0)  加入收藏
站内最新
站内热门
站内头条