昨天晚上爆出一則大新聞, 暗網監測公司 4iQ 在暗網上發現了包含14億個帳號郵箱的資料包, 而這也成為了迄今為止最大的資料庫洩漏事件, 全世界近1/5的人可能會受到影響。 不過或許不少人看到這則新聞時都和小編一樣無動於衷, 畢竟密碼洩露問題已經司空見慣, 所以今天我們不如換個角度, 來聊聊“帳號密碼”該不該走進歷史的垃圾桶。
暗網是什麼, 為何會有密碼資料庫呢?
我們就從這次暗網上出現的資料庫說起吧!該資料庫是12月5日在暗網上發現的, 4iQ 公司表示該資料庫不僅包含14億個帳號密碼資訊,
或許這裡還需要為大家插播一下暗網的科普, 暗網也叫做“DeepWeb”, 這個名字也是將暗網類比為“互聯網冰山”水下隱藏的部分, 這一部分無法被普通用戶看到, 搜尋引擎也無法獲知內部的資訊, 只能通過加密的隱身軟體才能進入。 暗網來自於一個叫做 Tor 的開源專案, 通過三位科學家發明的“隱藏路由資訊”的功能實現, 用戶可以接入互聯網但是卻不用向任何伺服器和路由器提交設備資訊, 所以就成了一個避開監管、完全隱藏在黑暗下的上網方式。
據說暗網的內容佔據了全網的96%, 而我們平時所能看到的互聯網, 僅僅是全網4%的資訊罷了。 雖然96%的內容中絕大多數是垃圾內容, 但是因為匿名特性, 暗網成為了世界性的違法交易平臺, 人們在暗網上通過比特幣等加密貨幣進行交易。 比起毒品、軍火、人口販賣等交易, 駭客賣一些資料資訊反而顯得很“純良”了。
駭客有一萬種方法獲得你的帳號密碼,
而前面被證實的14億帳戶資訊, 也不過是暗網上資料庫買賣的冰山一角罷了。 如果有人真的想要破解你的帳戶, 基本上是毫無難度可言的, 並且只要一個用戶在一家網站上的帳戶、密碼資訊被盜了, 他幾乎所有的帳號都會受到威脅, 因為“撞庫”實在是太方便了。 現在大家可能都習慣在不同的帳戶上都使用類似甚至是相同的密碼, “撞庫”指的是將網路上已經獲得的帳號密碼去其他網站、銀行等機構嘗試登陸, 成功率非常高。
其實現在很多機構已經知道帳號密碼的認證體系不可靠了, 所以他們推出了手機驗證碼的驗證方式, 但是犯罪分子用“短信攔截”還有“偽基站”等方法都能夠輕易破解這種認證體系, 雖然效率比較低, 但是長時間攻擊的覆蓋範圍還是很廣泛, 並且因為這樣的攻擊方式偽裝性強、即使是互聯網的老手都很容易中招, 所以反而比帳號密碼洩露的後果更加嚴重。
為了把帳號密碼模式發揮到極致, 1Password 等密碼管理軟體出現了, 我們可以用極其複雜、完全不同的密碼和帳號,而不用擔心自己記不住,這下總不會怕被撞庫了吧?但壓死駱駝的最後一根稻草已經不遠了,當量子計算普及的之日,就是帳號密碼認證體系被完全淘汰之時。
量子計算是壓死密碼體系的最後一根稻草
大家應該都知道,破解密碼有一種最直接的方式——窮舉法暴力破解,也就是通過無數次嘗試來獲取正確密碼。但是這樣的方式對電腦來說工作量實在太大,舉個例子,如果要破解一個 RSA 密碼系統(現階段最強大的密匙加密方式之一),即使是超級電腦都需要60萬年。就算是一個普通的10位元密碼系統,要用一台高性能伺服器暴力破解也需要數十年時間,所以很少有駭客會用窮舉法,但是當未來我們擁有量子電腦之後,暴力破解將會變成一件無比簡單的事情。
中國的量子電腦技術世界領先水準
本週一,IBM 宣佈他們已經開始了量子計算的實驗,而摩根大通、賓士、本田和三星等巨頭都宣佈將和 IBM 開始量子電腦的合作,這宣告了量子計算商業化的開始。而量子電腦因為每個比特“量子”都能處於疊加態,也就是多個狀態,而現在的 CPU 每個邏輯電路在一個時間點只能顯示0或者是1。就像在完成一項工作時,一個人只能獨自完成,而另一個人會多重影分身一樣,效率完全不是一個級別的。
根據相關資料,一個50量子比特的量子電腦,計算能力就達到了每秒一千萬億次計算,而現在全世界最龐大的“神威·太湖之光”超級電腦每秒運算能力為9.3億億次。50量子比特就達到最強超算1/100的計算能力了,量子電腦的效率可見一斑,如果要它來暴力破解,之前需要60萬年攻破的 RSA 密碼系統,相同存儲能力的量子電腦只需要3個小時。
未來是屬於生物識別的
在量子電腦面前,已經沿用數十年的密碼系統就像在現代挖掘機面前的木柵欄,輕輕一碰就會轟然倒塌,所以我們距離告別帳號密碼驗證方式已經不遠了。那麼下一代的驗證方式是什麼呢?當然是以指紋識別為首的生物驗證啊!
生物識別技術的比對過程是完全基於本地的,我們最開始輸入的生物資訊被存儲在機內的加密晶片中,而後面每一次比對資訊都是將感測器採集的指紋和存儲的指紋進行對比。這種基於實物(指紋、虹膜、人臉)的認證方式無法從網路攻破,除非拿到手機的同時偽造一個完全一樣的指紋、虹膜或人臉。
這麼看來,生物識別既能夠避免被駭客獲得後傳上暗網,還阻斷了量子計算暴力破解的漏洞,所以在未來,帳號密碼將會在短時間內被迅速淘汰,而生物識別技術,還有其他類似的很多“雙因數驗證”(密碼結合實物,比如權杖、卡片)的認證方式會成為絕對的主流。
我們可以用極其複雜、完全不同的密碼和帳號,而不用擔心自己記不住,這下總不會怕被撞庫了吧?但壓死駱駝的最後一根稻草已經不遠了,當量子計算普及的之日,就是帳號密碼認證體系被完全淘汰之時。量子計算是壓死密碼體系的最後一根稻草
大家應該都知道,破解密碼有一種最直接的方式——窮舉法暴力破解,也就是通過無數次嘗試來獲取正確密碼。但是這樣的方式對電腦來說工作量實在太大,舉個例子,如果要破解一個 RSA 密碼系統(現階段最強大的密匙加密方式之一),即使是超級電腦都需要60萬年。就算是一個普通的10位元密碼系統,要用一台高性能伺服器暴力破解也需要數十年時間,所以很少有駭客會用窮舉法,但是當未來我們擁有量子電腦之後,暴力破解將會變成一件無比簡單的事情。
中國的量子電腦技術世界領先水準
本週一,IBM 宣佈他們已經開始了量子計算的實驗,而摩根大通、賓士、本田和三星等巨頭都宣佈將和 IBM 開始量子電腦的合作,這宣告了量子計算商業化的開始。而量子電腦因為每個比特“量子”都能處於疊加態,也就是多個狀態,而現在的 CPU 每個邏輯電路在一個時間點只能顯示0或者是1。就像在完成一項工作時,一個人只能獨自完成,而另一個人會多重影分身一樣,效率完全不是一個級別的。
根據相關資料,一個50量子比特的量子電腦,計算能力就達到了每秒一千萬億次計算,而現在全世界最龐大的“神威·太湖之光”超級電腦每秒運算能力為9.3億億次。50量子比特就達到最強超算1/100的計算能力了,量子電腦的效率可見一斑,如果要它來暴力破解,之前需要60萬年攻破的 RSA 密碼系統,相同存儲能力的量子電腦只需要3個小時。
未來是屬於生物識別的
在量子電腦面前,已經沿用數十年的密碼系統就像在現代挖掘機面前的木柵欄,輕輕一碰就會轟然倒塌,所以我們距離告別帳號密碼驗證方式已經不遠了。那麼下一代的驗證方式是什麼呢?當然是以指紋識別為首的生物驗證啊!
生物識別技術的比對過程是完全基於本地的,我們最開始輸入的生物資訊被存儲在機內的加密晶片中,而後面每一次比對資訊都是將感測器採集的指紋和存儲的指紋進行對比。這種基於實物(指紋、虹膜、人臉)的認證方式無法從網路攻破,除非拿到手機的同時偽造一個完全一樣的指紋、虹膜或人臉。
這麼看來,生物識別既能夠避免被駭客獲得後傳上暗網,還阻斷了量子計算暴力破解的漏洞,所以在未來,帳號密碼將會在短時間內被迅速淘汰,而生物識別技術,還有其他類似的很多“雙因數驗證”(密碼結合實物,比如權杖、卡片)的認證方式會成為絕對的主流。