芝麻信用评估
对着 API 文档来写代码的程序员确实眼里只有 API,但是现实是报道里的脱库往往是弱或无密码的数据库不小心暴露在公网,或者 因为开发者水平差 sql 没参数化导致 sql 注入,或者把访问令牌暴露在代码库提交到 GitHub 的,或者前几天差点被通过 xz 库黑掉全球 Linux sshd 的。你这种脱离现实、只看文档的开发者就是让我感到不安全的来源之一。
对于你这种不想每个服务随机密码的,近年来新出的 passkey 标准更安全,它也是为每个服务(和对应账号)生成一对密钥对,不用担心一个服务被拖库而影响到其它服务;同时它使用设备 pin 或生物验证鉴权,对你记密码(因为你不靠专门密码软件记)也方便。你可以了解一下。
对,加密算法本身以今天算力是很难暴力破解,但是别人暴力破解不会去枚举用于加密的密钥本身,而是去靠字典或社会工程学去枚举被迭代加散列之前的明文密码,(假如你是 it 开发者)你显然只会掉用加密 API。然而 API 掉用时用的密钥是 master key 而不是你的密码,你显然不了解这个,不然你不会说出 6 位数字就能顶住暴力破解的话。6 位数字这类低熵鉴权想防暴力破解要靠专门硬件(atm 机或 tpm 芯片),或者缩小有效窗口(totp,totp 底层还是高熵 master key 去 hmac 时间)。
你用 nas 应该知道,除了系统自带的服务会和系统集成会有 IP 屏蔽,你自己启动的 self hosting 开源服务大多数都没这玩意。虽然你可以手动添加 IP,但是你会一整天就盯着日志看又哪个 IP 登陆鉴权失败来复制粘贴 IP 吗?而且还有重播 IP 随机化、net4 IP 池问题,效果很差。这类自托管服务还是只开内网端口,你在外面就只靠内网虚拟化方法穿透吧,真针对你你分分钟被黑。
到今天还有一堆服务明文储存用户密码,好点的用散列函数散列一下,再好点的加盐散列,再好点的迭代后加盐散列,最新技术已经发展成 passkey 私钥签署挑战鉴权。当然说到这里你也许只能理解设备 6 位 pin 能鉴权 passkey,但不妨你自己去了解下离开设备时私钥复杂度达到多少位所以难以暴力破解,不要只看表面的 6 位数字。
你只知道你输入的是六位数的密码,但你并没了解别人为了让你能靠这六位密码就保障安全性背后做了多大努力。以手机 pin 为例,背后是专门可信加密硬件,实际上用来加密的密钥(master key)往往达到 128/256 bit 以上。但是我觉得我对牛弹琴,你不是这行的说了你也不懂我在说啥。
