小令观点 | 从大批 QQ 账号被盗，看账号安全与数据资产问题

此前，一则「QQ 用户反映自己账号被盗」一事被冲上了微博热搜，对此事还不熟悉的读者可参考如下两篇文章报道，点击查看：1-《腾讯QQ回应“大量账号被盗”》，2-《就因为QQ登录二维码，全网发生了大规模的社死。。。》。

从报道中可以看到，数字账号在欺诈者眼中的价值，要比账号主人原以为的更大，能发挥出千奇百怪的功效。因此，欺诈者们会始终研究着如何攻克防线、盗用账号，而平台和账号主人如若不与时俱进，结果就是突然有一天“社死”。但古语说得好，只有千日做贼，哪有千日防贼的道理？如果不从根本的机制上解决该问题，就只能是必败的结局了。

本文着重要说的是平台对用户账号的安全责任。从现状来看，无论大厂小厂，在平时更多采用鸵鸟政策、得过且过，遇到问题时则极力陈述自身的无奈、适时暗示用户使用不当。这种方式和态度是不对的，不仅于事无补，而且会让恶性循环永远这么下去。

但，最该为此担忧并率先作出行动的，却只能是用户自身。对于发生了某某用户账号被盗的平台，大部分人的选择往往是熟视无睹、赞同平台宣布的某某用户“自身管理不善”的原因，事实上也就纵容了平台继续不作为，直到有一天这样的事件终于发生在自己头上。而另一方面，没有用户侧的群体压力，平台当然也就没有足够的动力来优先解决这些零零星星的问题，直到有一天爆发出大面积事件，最终共同受损。

令牌云团队对此有着较为长期深入的研究和理解，最终得出结论：当前的账号安全弊病已经无法依靠简单的安全补丁来解决了，需要从技术模型到管理理念上都进行彻底的革新，才能保障用户在未来的数字世界中，敢于创造和保管越来越多的数据资产。

01

首先，直接送上对应本次 QQ 事件的应对解决方案，免得我们也沦为只说不做的批评家。

本次事件之所以令人“震惊”，是因为业界和用户都已经形成了“公共网络不安全、扫码登录最安全”的印象，对手机 App 扫码进行 Web 端、 PC 端登录的闭环安全深信不疑。然而，就这么被欺诈者轻轻松松用替换二维码的方式给攻破了，信任碎了一地。

撇除腾讯 QQ（其他大厂也一样）自身的技术实力不强、代码实现不够完善等小概率事件，这个问题的严重程度可能会让你毛骨悚然。比如，今后某个工作上的同事发来微信二维码，你还敢扫一扫么？但很多时候似乎又别无他法，总不能因噎废食吧。 关键问题在于授权用户与提交二维码验证的终端环境之间，未能形成互信的认证。

仅靠静态的二维码，用户无法知晓该图片产生于哪个终端，系统也不能获知用户对终端是否信任。 欺诈者正是利用了这个漏洞，将系统要求其本人认证的登录二维码替换到受害用户看到的屏幕上，从而由受害用户帮其完成了登录认证。因此只需要弥补这个漏洞，同类攻击即行失效。

具体做法上就很多了，易于理解的比如：请用户在 App 扫码的时候同步回答“正在登录的是什么浏览器，A：Chrome，B：Edge”就行了，更合适的方法留给 QQ 们吧，这里无需赘述。

02

然而，这只是治标而已。更本质的原因则在于，现有的账号模型、以及在登录时的身份验证模式，都已经“过时”了。

是的，你没看错。

当前的账号登录，普遍是以中心化服务端验证的方式来进行的：用户提交登录凭证，服务端对凭证进行数据库校验，通过了就认可其是账号持有人。有时候也会同时验证多个登录凭证，全部通过了才能允许进行后续的操作。

这个模型足够简单而且历史悠久，从互联网诞生之初就在用了，但对于下述风险早已无能为力：

• 首先，每类登录凭证都有自身的可破解漏洞，尤其是在依赖用户自行保管的现实情况下。比如传统的登录口令模式早就千疮百孔，而我国这两年越来越严重的短信泄露也使得手机号短验模式毫无安全可言，本次事件中二维码凭证也暴露出了自己的短板；

• 其次，用户输入凭证大多是以明文的形式，而如今复杂的网络环境已无法保障用户所处于的操作场景是否安全，很可能所输入的凭证白白为欺诈者所得；

• 最后也是最严重的，这些登录凭证都是服务端中心化地创建、保管、分发和验证的，也就使得服务端自身成为黑客攻击的中心焦点，一旦攻破不但可侵略该平台上的用户，还能通过凭证的天然相似性去攻击其他平台，一举多得。所谓大厂们也许有财力有人手在这方面增强防御，但是小厂们能面对穷凶极恶的欺诈者么？

于是我们看到，遭遇账号盗用时，平台总是首先怀疑用户自身保管不善、或者在“不安全的”环境中使用；发生平台攻击时，大厂们总会谆谆教导小厂们要学习改善。

但是细细想来，真的有道理么？用户若故意向他人泄露凭证是不对的，但除此之外怎能归结为他们的错，他们怎能辨别自身是否处于风险之中？小平台们的代码水平，若不符合业界规范是需要改正的，但怎么可能每个公司的技术团队都具备与欺诈者抗衡的账号防护能力呢，平台的存在价值和首要目标不应该是提供各具特色的内容服务么？

所以我们才发出呼吁，是这套账号模型出问题了。它过时了，已经不再适合广大用户和新兴平台们的发展需要了。用户们、数字平台们都需要的，是一套更安全更方便、责任更清晰、技术更纯粹的账号模型与解决方案。 

• 增加用户端侧的安全

抛弃单一的中心化服务端验证，增加用户端侧的分布式验证；抛弃传统的比对式登录凭证，引入基于密码学的计算式安全凭证。通过这样的改造，可以让单一作战的服务端，升级为服务端+用户端的双侧独立验证，从而杜绝现有已知的各类账号攻击。

国外的 FIDO 无口令身份认证联盟已经先行走出了这条路，但我们可以做得更好。

• 让用户和平台都方便

让用户手动输入凭证的方式其实并不方便，可以有更好的、至少不亚于此的用户体验，特别是结合移动设备上已经普及的生物识别，既显著提高安全性也让用户不觉得麻烦。

而对平台而言，新账号模型不仅简洁清晰，更可以在现有账号体系上快速无缝升级，可以让研发团队从此就身份账号的管理和验证问题彻底脱身开来，专心做平台更擅长的内容服务。

• 责任更清晰

将用户、平台、以及专业的账号技术服务商的责任清晰界定出来。用户只要别故意泄露自身信息即可，平台只需规范编码即可，账号技术服务商负责基于新的账号模型来持续监控和应对各类欺诈风险，各司其职，且无需推诿。

• 技术更纯粹

账号登录服务，与用户的身份信息、数据信息其实是弱耦合的，因此完全可以内部独立运行，无需触碰平台和用户的敏感数据。而且，作为一种非常高频使用的基础设施，也不可能以外部应用的形式调用，国外的 IDaaS 在国内基本不可行就是这个原因。最理想的方式，应该是部署在平台内部，让平台的内外服务都更加纯粹。

令牌云团队已经按照上述标准开发出原型产品并进行了初步测试，相关结果也如预期的那样基本满意，下图是令牌云与 fido 实现的效果对比。令牌云将不断完善并推出符合未来数字世界长期需要的身份账号服务，让用户和平台都无需再为突如其来的账号失窃而担忧。如果你也感兴趣，欢迎联系，一起探索和推进。 

03 

想要彻底解决账号安全问题，这样就足够了么？

对平台，基本足够了。上述方案可以大幅改善平台的账号安全水平，免除责任压力。

对用户，还是不够的。一个人必然要使用多个平台，指望每个平台都实施上述方案需要一个漫长的过程，看看如今很多平台还在用最原始的账号口令方式就明白了。因此用户的数据资产难以得到全面充分的安全保障；而且，让用户在每个平台都独立维护一套登录方式始终是不妥的，用安全术语来说就是“攻击面过多”。

更好的方式是让用户能够“仅凭自身”就安全地登录一切应用。可以明确告知大家、以防被骗的是，这种方式迄今为止尚未出现（比如，人脸识别由于对隐私破坏太大，而且对抗不了假脸技术而不可行），但确实是活跃在业界最前沿的创新热点之一。

令牌云在解决了“平台长期需要”的账号产品后，现在也已投入到“用户长期需要”的账号产品的研发中来了。我们认为，这是个无法一蹴而就，只能臻于至善的长期服务，但价值也会很明显，可以给业界，无论是用户还是平台，都带来极大的福祉。

关于令牌云

令牌云是一家新锐的数字身份科技公司，专注于让身份更可信、隐私更安全、连接更便捷。

我们创新融合了智能芯片认证、分布式身份、端侧可信计算等诸多密码学前沿技术，帮助企业客户实时鉴别当前用户是否为账号持有本人，让产品流程既顺畅又安全，提升业务成功转化率。

令牌云已在金融、互联网领域率先取得突破，获得多家知名企业的商用认可，正在面向更多行业提供灵活高效的解决方案。

欢迎点赞+收藏本文章，如需转载请通过 service@eidtoken.cn 联系我们。

你还可以在以下平台找到我们~

公司官网：https://www.eidtokencloud.com/

微信公众号：搜索“令牌云数字身份”并关注

知乎：令牌云数字身份

InfoQ：令牌云数字身份