你有没有过这种崩溃时刻,逛了半小时加够购物车要结账,输密码死活想不起来,点忘记密码还要回答“小学最喜欢的零食”这种灵魂拷问,试错三次直接锁账号,好好的消费兴致直接荡然无存。别奇怪,现在连英国国家网络安全部门都公开喊话,让大家全面停用老旧密码,新的免密技术已经有超4亿账户抢先用上了,这到底是收割智商的新套路,还是真能解决痛点的技术革命?
咱们用了几十年密码,谁都知道它不好用,但一直就凑合用着。为啥现在整个科技圈安全圈连政府都急着把它淘汰?原因说穿了很简单,传统密码天生就有缺陷,放到现在根本行不通。它就是个死矛盾,要安全就复杂难记,好记的就一定不安全。
有人全平台用abc123,有人一路都是生日,后来网站强制要求加大小写特殊符号,大部分人也就是把首字母大写,末尾加个@交差。大概率你各个社交购物网站用的,都是同一套密码修修改改出来的。咱们大脑本来就不适合记几十组乱七八糟的乱码,黑客就吃准了这一点。
公开的网络安全报告就说了,高达22%的信息泄露事件,源头就是密码被盗。黑客根本不需要费劲巴拉敲键盘攻破防火墙,只要拿到你在A网站泄露的账号密码,写个小程序就能去B网站C网站挨个测试,就是行内说的撞库攻击。只要你多个平台用同一个密码,所有账号分分钟全面沦陷。
后来为了补这个漏洞,大家开始用手机短信双重验证,可问题跟着就来,诈骗分子的技术升级速度比防护还快。现在的攻击者能做出来跟官网一模一样的钓鱼网站,就等你乖乖交出账号密码还有刚收到的短信验证码。前不久就有人收到中奖邮件,一激动输入验证码,转头账号就被黑客洗劫一空,事后才发现那就是个彻头彻尾的骗局。
更吓人的是现在钓鱼邮件都AI升级了,以前的诈骗信错字连篇,繁简转换都错,一眼就能看出来不对劲。有了AI加持之后,骗子能写出逻辑通顺语气自然的邮件,还能跟着你的职业社交动态量身定制,跟真官方客服一模一样。微软团队实测,这种AI生成的钓鱼信,点击率居然高达54%,光靠用户自己多留心眼,早就防不住了。
刚好就在这个时候,Passkey技术成熟了。说简单点,它就是一把存在你手机或者电脑里的数字钥匙,全程由你的设备帮你保管,不用你费脑子记。原来登录网站,是你把密码交给网站核对,只要网站被黑,你的密码直接就没了。Passkey的逻辑完全不一样,它是FIDO联盟推动的国际标准,用的是公开密钥加密技术。
你在某个网站设置好Passkey之后,手机会生成一对只属于你的钥匙,私钥一直藏在你自己手机里,公钥才交给网站保存。下次登录的时候,网站不会再问你要密码,只会发一道验证请求给你的设备。你刷脸或者用指纹解锁手机里的Passkey,设备就会用私钥给验证请求做加密签名,网站拿公钥核对对上了就放你进。整个过程网站只能确认签名,根本拿不到你的私钥,就算网站服务器被黑客断了,黑客拿到的公钥也没法用来登录,完全没用。
目前苹果从iOS16就开始力推这项技术,谷歌2023年也全面接入,连亚马逊和微软都早就支持了。虽然还没做到百分百普及,但发展规模已经相当惊人。不到一年时间,光是谷歌就有超4亿账户使用过Passkey,完成验证超过10亿次,FIDO联盟预估,今年全球已经有50亿个Passkey正在运转,大部分企业都在加紧部署。
平时企业处理用户或者员工忘记密码,算上IT人员的时间成本和员工停工的损失,平均一次就要耗费70美元,如果做双重验证,每个用户每月还要增加额外成本。改用Passkey,既省了钱安全性又上了一个台阶,怎么算都是划算的。不少人听到这可能觉得,这下好了,黑客马上要集体失业了吧。
可别盲目乐观,Passkey确实补上了传统密码最大的漏洞,但它也把风险转移到了别的地方。如果一个网站支持Passkey,同时又留了邮箱或者人工客服重置账号的后门,黑客根本不需要硬碰硬破解Passkey,直接绕到后门攻破你的邮箱就能拿走账号控制权。还有就是信任转移的问题,原来跨设备登录用密码就行,现在Passkey大多跟手机平台深度绑定,还要跨平台同步。
不少人都会犯嘀咕,我手机丢了怎么办?苹果谷歌微软这些大平台的底层系统,真的足够安全吗?这些问题现在还没有完美的解决方案,也是很多人暂时不敢完全扔了密码的原因。咱们现在的数字身份验证方式,其实已经在悄悄发生变化了。
原来验证身份靠的是“你知道什么”,也就是你能不能记住密码,现在变成了“你拥有什么”,就是你能不能解锁这台属于你的手机。传统密码这种让普通人背乱码的设计,本来就反人类反直觉,被时代淘汰是注定的事儿,代替它的就是更无感更底层的生物识别技术。我们不用再扛着记密码的负担,换来了方便,也多了对智能手机和几大科技平台的依赖。
不管咱们习不习惯,这股技术浪潮已经势不可挡。搞懂这些背后的逻辑,平时看好自己手里的设备,就是咱们过好数字生活最实在的护身符。
参考资料:新华社 全球免密登录技术发展观察
热门跟贴