2022年11月底,在世界上某个不知名的角落,一群黑客费尽心思成功攻破了某个云存储服务器,并拿到了其中所保存的、数量众多的数据。但这些数据并不简单,因为它们隶属于知名的密码保管软件LastPass。这是一个主打“帮用户记住密码”的跨平台第三方软件,换句话来说,在它的服务器里理所当然地会保存有大量的用户密码。它们可能是某个人的手机锁屏密码、某家公司的电脑开机密码,也有可能是更关键的银行卡密码、游戏登录账密、医疗账户信息……然而,“得手”的黑客在打开他们窃取到的文件时,映入眼帘的并不是能够“发家致富”的大量账号密码,而是一串串完全不知所云的乱码。是的,这并不是我们三易生活想象出来的场景,而是基于近日的真实事件所做的合理演绎。LastPass所使用的的第三方云存储服务器确实被黑客攻破了,但黑客们也确实没有拿到任何有意义的信息。为什么会这样?其实这就要提到LastPass以为傲的“零知情”(Zero Knowledge)架构,以及现在一部分互联网相关软件所使用的、类似的隐私保护措施了。何谓“零知情”?简单来说,作为一款“密码管理软件”,LastPass的基本原理当然是记录、保存用户的账号密码,并在用户需要的时候实现自动填充。但在这个记录、保存的过程中,LastPass会对所有的账号、密码进行高度加密运算,而其加密密钥的生成以及整个加密运算过程,都是在用户的本地设备上进行。这样一来,被上传到云端备份的其实就只有加密后的数据。LastPass本身并不读取、也不持有加密密钥(因为是在用户的设备上随机生成、而非事先定好的),更不在云端运行加解密过程。换句话来说,就连他们自己也无法对这些存储在云端的数据进行“解密”,更不要说窃取到数据的黑客了。当然,我们不能因为“黑客无法解密得到实际的用户数据”这个结果,就认为LastPass在此次事件当中毫无责任,毕竟服务器被攻破了,(已加密的)数据被窃取了是事实。但LastPass的“零知情”架构,成功阻止了黑客得到实际“有用”的数据,同样也是事实。而且哪怕是不发生黑客攻击事件,仅从职业道德的角度来说,作为一款密码管理软件,采用这种“让自己(内部的)人都看不到用户数据”的设计,想来也确实是理所应当的。然而这就不禁会令我们产生一个额外的联想,如果“零知情”架构如此有效,为什么它并没有被大家所熟知的那些互联网应用(比如各大浏览器、聊天软件、购物软件)广泛采用呢?其实背后的原因,也不难理解。因为站在互联网公司的商业利益角度去考量,基于用户信息、用户习惯收集而来的广告,或者说智能推送,往往是非常重要的一项盈利业务。比如浏览器可能会分析浏览和搜索记录,从而推断你的购物喜好;社交软件可能会“窥探”聊天记录,从中找到你对新闻、生活、购物各方面的需求,进而体现在推送内容上;电商软件就更不用说了,它们可从来都不会掩饰对于你购物数据的“分析”和跟踪。相比之下,LastPass会采用“零知情”架构,一方面当然是因为其本身是密码管理软件,只有这样做才能让用户感到安心。另一方面来说,账号密码这些东西看似重要,但它们对于互联网公司的“价值”,其实远没有那么高,毕竟谁也不敢明明白白地直接侵犯用户隐私。而且不同于浏览记录、购物车信息,从账号密码当中几乎也没可能提取出什么“用户画像”。既然如此,上点技术手段、做出一幅重视隐私的姿态,自然也就成为了既无损于企业商业利益,又能博得用户信赖的唯一正解。从高像素到认知影像,你不知道的那些手机影像发展史
不断进步的骁龙移动平台,正在驱动智能手机影像革命。
六年前的显卡依然能打,3A游戏“提不动刀”了吗?
本站仅提供存储服务,所有内容均由用户发布,如发现有害或侵权内容,请
点击举报。
