事实证明,没有密码才是最好的密码
从1月份武汉封城算起,到现在已将近2个月。根据网红医生上海华山医院张文宏主任的专业判断,由于国外疫情的控制没有充分利用好中国对疫情防控争取的时间,使得疫情在今年夏天结束基本已经不可能。不过,我们也看到还有其他科研攻关团队在疫苗研发上又取得了新的进展,进入了临床试验阶段。但不管怎么样,对于我们而言,想要像过去那样“浪”,还需要时间。
时间的长短,对于不同行业产生的影响不同。新冠肺炎疫情对于有些行业,是一场巨大危机,如餐饮、旅游、娱乐等等。而对于另外一些行业,又是一次大发展的机遇,如电商、配送、线上教育、远程办公等等。而随着线上服务的依赖加大,在网络服务安全方面,又随着一些事件的发生,显得越来越重要。
3月20日,钛媒体官方微信公众号报道:
3月19日晚间,一位区块链领域资深人士向钛媒体(微信ID:taimeiti)表示:“在Telegram上,已有大量被泄露个人信息可以用btc和eth交易,目前暗网已经疯了,大家都在疯狂查询,这事已在国际暗网上产生巨大影响 微博针对微博数据泄露一事回应承认属实,目前已及时强化安全策略,并表示这起数据泄露不涉及身份证、密码,对微博服务没有影响。但是微博还称,“此次数据泄露应该追溯到2018年底,当时,有用户通过微博相关接口通过批量手机批量上传通讯录,匹配出几百万个账号昵称,再加上通过其他渠道获取的信息一起对外出售。石万佳,公众号:钛媒体5亿微博隐私数据被爆遭泄漏始末,国际暗网正在火爆交易当普通用户看到类似的安全事件之后,第一反应是什么?应该是一些应用服务的账号密码被盗,密码被盗,意味着账号内的所有信息都能够被盗窃者一览无余。如果有些账号密码还被盗窃者修改了,那用户的恐慌和找回账号的麻烦都会加大。因此,账号密码的安全性问题,历来是应用服务商和用户都极为关心的问题。
互联网最初的应用,主要是通过“账号+密码”的方式进行登录的,在这个基础之上,为了进一步确保账号的安全性,再加入辅助性的手段,比如图形验证码等等,从而降低技术手段进行批量账号入侵的风险。但是,只要“账号+密码”的方式存在,那就意味着存在密码被盗的可能,所以,从更加安全的角度,有些应用服务商会硬性要求用户在设定密码是,必须采用字符数字甚至加上特殊字符的复杂密码组合,但是这种要求,又增加了记忆的难度。有些人为了便于记忆,又把密码记录在纸质资料或者其他电子文档上,这同样又增加了密码被盗的风险。当然,为了继续提高安全性,再引入其他手段,比如,电子证书、某某盾等等。一句话:只要有密码,密码就可能被盗!安全性与便利性、快捷性的矛盾平衡,始终存在。
随着移动互联网的出现,在应用登录上,出现了动态密码的做法,也就是通过手机号码作为账号登陆,下发动态验证码,动态验证码的时效性,根据不同的安全程度要求,1分钟、5分钟、30分钟等等,不一而足。动态验证码的缺点是有可能被伪基站等拦截。同样,一些诈骗方式,也可能套取动态验证码。
后来,基于一些新的生物识别技术的安全措施也出现了,例如指纹、人脸识别、掌纹(掌静脉)等。在移动互联网环境下,电信运营商作为接入商,在手机号码方面,具有先天接入的独特优势。于是,在电信运营商进行的互联网应用业务创新上,中国电信综合平台开发运营中心的团队在多年的业务创新基础上,于2017年9月初的天翼账号开放合作大会上,以中国电信集团官方正式方式举行了业务发布会。天翼账号的核心技术(黑科技)就是基于电信运营商物理SIM卡的技术能力,可以为互联网应用提供一键免密码快捷登录的新的认证登录方式。这种技术,很好地平衡了安全性与快捷便利性的关系。
这项全新的认证登录技术,也得到中国移动的大力支持,不论是中国电信的天翼账号,还是中国移动的统一认证,不管你是电信用户,还是移动或者联通的用户,只要注册成为天翼账号用户或者统一认证用户,都能实现与合作的互联网应用上进行一键免密认证登录。这个可以说是,在以邮箱、QQ号/微信号、微博号为主流的账号体系之外的又一种全新的账号体系。而且,在移动互联网时代,更加注重安全的情况下,更值得大力推广的一种认证方式。
我们再回到微博这起事件上来微博的账号登录方式,退出微博APP后,再进行登录,可以看到有三种基本的登录方式:账号+密码方式、手机号+短信验证码方式以及用本机号码一键登录方式。后两种方式,已经没有密码,因此不存在密码被盗的问题。
那么,类似微博这三种登录方式,是不是要考虑完全放弃传统的账号+密码的登录方式呢?目前来看,恐怕还比较困难,不仅仅是技术改造的问题,更多是原有的微博账号体系的冲击问题。更何况,本次微博数据泄露事件,目前的情况说明,并没有涉及到密码被盗窃的问题。
除了微博之外,今日头条、抖音、美图等,好几个主流的移动互联网应用,都开始采用了一键免密认证,体验确实很好。同样,这些大的应用,也可以一定程度上免除密码被盗或者密码不好记的问题。
但是,我们还是回到应用服务的安全问题,在疫情期间,电信运营商是不是能够利用疫情线上服务,为了给用户提供更加快捷便利的登录服务,像其他服务一样,给到更多的推广资源加大免密认证的活动呢?到目前为止,蛇叔未见到。后续就看电信运营商是否认为,还有必要再疫情防控得到有效控制的情况下,补足这个推广的缺失。
就算不打算针对互联网应用做这样的推广,那自己的那些互联网应用呢?目前从一些体验来看,也没有见到,电信运营商自己的一些应用,尤其是一些与线上服务高度契合的应用,在进行大力推广的时候,也没有见到很好的与一键免费业务进行协同。
这种情况的出现,也许,也可以侧面反映出电信运营商在互联网创新业务的运营事件中所出现的一些问题。
总而言之,无论是中国移动,还是中国电信,一键免费认证登录这项黑科技,在当前情况下,还是有必要考虑顺势加强一下。让我们拭目以待!