首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

你的密码已形同虚设 强敌当前它该退休了

昨天晚上爆出一则大新闻,暗网监测公司 4iQ 在暗网上发现了包含14亿个账号邮箱的数据包,而这也成为了迄今为止最大的数据库泄漏事件,全世界近1/5的人可能会受到影响。不过或许不少人看到这则新闻时都和小编一样无动于衷,毕竟密码泄露问题已经司空见惯,所以今天我们不如换个角度,来聊聊“账号密码”该不该走进历史的垃圾桶。

暗网是什么,为何会有密码数据库呢?

我们就从这次暗网上出现的数据库说起吧!该数据库是12月5日在暗网上发现的,4iQ 公司表示该数据库不仅包含14亿个账号密码信息,而且查找机制十分完善,小白用户都能在几秒钟内搜索到自己想要的账号密码,比如搜索 admin 账号时,马上就检索到了226631个密码。虽然业内人士表示这个库可能仅仅是过去泄露数据的一个合集,但是因为范围广、门槛低,或许会成为网络犯罪的工具。并且4iQ 公司还表示,这个数据库中有14%的登陆证书是从未公开过的,也就是最近被盗的数据。

或许这里还需要为大家插播一下暗网的科普,暗网也叫做“DeepWeb”,这个名字也是将暗网类比为“互联网冰山”水下隐藏的部分,这一部分无法被普通用户看到,搜索引擎也无法获知内部的信息,只能通过加密的隐身软件才能进入。暗网来自于一个叫做 Tor 的开源项目,通过三位科学家发明的“隐藏路由信息”的功能实现,用户可以接入互联网但是却不用向任何服务器和路由器提交设备信息,所以就成了一个避开监管、完全隐藏在黑暗下的上网方式。

据说暗网的内容占据了全网的96%,而我们平时所能看到的互联网,仅仅是全网4%的信息罢了。虽然96%的内容中绝大多数是垃圾内容,但是因为匿名特性,暗网成为了世界性的违法交易平台,人们在暗网上通过比特币等加密货币进行交易。比起毒品、军火、人口贩卖等交易,黑客卖一些数据信息反而显得很“纯良”了。

黑客有一万种方法获得你的账号密码,防不胜防

而前面被证实的14亿账户信息,也不过是暗网上数据库买卖的冰山一角罢了。如果有人真的想要破解你的账户,基本上是毫无难度可言的,并且只要一个用户在一家网站上的账户、密码信息被盗了,他几乎所有的账号都会受到威胁,因为“撞库”实在是太方便了。现在大家可能都习惯在不同的账户上都使用类似甚至是相同的密码,“撞库”指的是将网络上已经获得的账号密码去其他网站、银行等机构尝试登陆,成功率非常高。

其实现在很多机构已经知道账号密码的认证体系不可靠了,所以他们推出了手机验证码的验证方式,但是犯罪分子用“短信拦截”还有“伪基站”等方法都能够轻易破解这种认证体系,虽然效率比较低,但是长时间攻击的覆盖范围还是很广泛,并且因为这样的攻击方式伪装性强、即使是互联网的老手都很容易中招,所以反而比账号密码泄露的后果更加严重。

为了把账号密码模式发挥到极致,1Password 等密码管理软件出现了,我们可以用极其复杂、完全不同的密码和账号,而不用担心自己记不住,这下总不会怕被撞库了吧?但压死骆驼的最后一根稻草已经不远了,当量子计算普及的之日,就是账号密码认证体系被完全淘汰之时。

量子计算是压死密码体系的最后一根稻草

大家应该都知道,破解密码有一种最直接的方式——穷举法暴力破解,也就是通过无数次尝试来获取正确密码。但是这样的方式对计算机来说工作量实在太大,举个例子,如果要破解一个 RSA 密码系统(现阶段最强大的密匙加密方式之一),即使是超级计算机都需要60万年。就算是一个普通的10位密码系统,要用一台高性能服务器暴力破解也需要数十年时间,所以很少有黑客会用穷举法,但是当未来我们拥有量子计算机之后,暴力破解将会变成一件无比简单的事情。

中国的量子计算机技术世界领先水平

本周一,IBM 宣布他们已经开始了量子计算的实验,而摩根大通、奔驰、本田和三星等巨头都宣布将和 IBM 开始量子计算机的合作,这宣告了量子计算商业化的开始。而量子计算机因为每个比特“量子”都能处于叠加态,也就是多个状态,而现在的 CPU 每个逻辑电路在一个时间点只能显示0或者是1。就像在完成一项工作时,一个人只能独自完成,而另一个人会多重影分身一样,效率完全不是一个级别的。

根据相关资料,一个50量子比特的量子计算机,计算能力就达到了每秒一千万亿次计算,而现在全世界最庞大的“神威·太湖之光”超级计算机每秒运算能力为9.3亿亿次。50量子比特就达到最强超算1/100的计算能力了,量子计算机的效率可见一斑,如果要它来暴力破解,之前需要60万年攻破的 RSA 密码系统,相同存储能力的量子计算机只需要3个小时。

未来是属于生物识别的

在量子计算机面前,已经沿用数十年的密码系统就像在现代挖掘机面前的木栅栏,轻轻一碰就会轰然倒塌,所以我们距离告别账号密码验证方式已经不远了。那么下一代的验证方式是什么呢?当然是以指纹识别为首的生物验证啊!

生物识别技术的比对过程是完全基于本地的,我们最开始输入的生物信息被存储在机内的加密芯片中,而后面每一次比对信息都是将传感器采集的指纹和存储的指纹进行对比。这种基于实物(指纹、虹膜、人脸)的认证方式无法从网络攻破,除非拿到手机的同时伪造一个完全一样的指纹、虹膜或人脸。

这么看来,生物识别既能够避免被黑客获得后传上暗网,还阻断了量子计算暴力破解的漏洞,所以在未来,账号密码将会在短时间内被迅速淘汰,而生物识别技术,还有其他类似的很多“双因子验证”(密码结合实物,比如令牌、卡片)的认证方式会成为绝对的主流。

  • 发表于:
  • 原文链接http://kuaibao.qq.com/s/20171220A0G43V00?refer=cp_1026
  • 腾讯「腾讯云开发者社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 cloudcommunity@tencent.com 删除。

扫码

添加站长 进交流群

领取专属 10元无门槛券

私享最新 技术干货

扫码加入开发者社群
领券