16亿密码泄露事件：真正发生了什么？ 2025年6月，Cybernews的网络安全研究人员披露了有史以来最大之一的凭证泄露事件：超过160亿的登录信息，分布在约30个庞大的数据集中，已在网上免费公开。此次泄露并非单一的突破事件，而是多年间，信息窃取型恶意软件悄无声息地感染设备，从密码、Cookies到活跃会话令牌和网页登录历史等信息被不断窃取。许多凭证至今仍然有效，影响范围涵盖Google、Apple、Facebook、Telegram、GitHub甚至一些政府系统。一些数据集包含多达35亿条记录，在某段时间内，这些数据都可以在公共服务器上获取，无需任何黑客技能。 仅2024年，信息窃取型恶意软件就窃取了21亿个凭证，几乎占此类工具窃取凭证总量的三分之二，彰显出日益严重的安全威胁。 为何16亿密码泄露暴露了传统登录系统的局限 这次事件凸显了当今仍广泛使用的传统身份验证系统的根本漏洞。密码的重复使用极为普遍，一旦某个账户被攻破，攻击者就可通过凭证填充法（credential stuffing）访问其他服务。此外，这些泄露中还包含会话令牌——用于验证已登录账户的数字钥匙，这使问题更加严重。随着“信息窃取工具作为服务”的普及，攻击者可以购买被盗数据，并自动化实现账户控制，无需直接针对受害者。这些因素共同造成了身份盗窃、金融欺诈和隐私侵犯的理想环境，表明仅靠两因素认证（2FA）和密码管理器已不足以应对。因而，行业开始转向基于区块链的数字身份系统等基础性解决方案，这些方案无需依赖密码。 对无密码身份验证和区块链的需求 面对如此大规模的泄露事件，经典建议重新被提出：使用强级且唯一的密码；采用如1Password或Bitwarden的密码管理器；启用2FA；切换到利用生物识别的密码钥匙（passkeys）；以及通过暗网扫描工具监控泄露信息。尽管这些措施有一定帮助，但它们只是对系统缺乏韧性的临时补丁。用户仍然面临钓鱼、恶意软件和易受攻击的应用程序的威胁。随着安全漏洞规模扩大、手段日益复杂，专家们越来越倡导Web3的身份管理，旨在实现长期的安全提升。通过区块链实现无密码认证，可能让网络安全逐步由被动防御转向主动、基础设施级的保护——真正取代那破败的旧系统。 值得一提的是，计算机密码系统的起源可以追溯到20世纪60年代MIT的“兼容时间共享系统”，早在当年人们就已意识到安全问题，证明密码的脆弱性并非新鲜事。 区块链数字身份真能成为解决方案吗？ 在海量密码被泄露的背景下，一个迫切的疑问是：为什么人们仍依赖密码？许多开发者、机构和隐私倡导者现已将区块链数字身份视作一种迫切需要的替代方案。 区块链数字ID能解决什么 基于区块链的去中心化身份系统，以“自主主权身份”(SSI)为理念，颠覆了传统模型，将数字身份的所有权和控制权交还给用户。与易遭大规模数据泄露的中心数据库不同，区块链利用去中心化标识符（DIDs）——由用户自主保管的唯一私钥存储在链上，无中心存储库可攻破。 主要优势包括： - 无单点故障：不同于拥有数百万凭证的中心化系统，区块链身份没有易被攻破的中央服务器。 - 最少的数据暴露：借助可验证凭证（Verifiable Credentials），用户可以验证某些属性（如年龄或学历），而无需分享完整的身份证明文件。高级的零知识证明（Zero-Knowledge Proofs）还能在不泄露底层数据的前提下验证“我超过18岁”等声明。 - 防篡改和可审计：发给用户数字钱包的凭证都具有密码签名和时间戳，几乎无法伪造或在未被检测的情况下篡改。 这种“自主主权身份”的理念，根本上取代了现今脆弱的身份基础设施。 谁在推动区块链身份解决方案？ 虽然尚处于萌芽阶段，Web3的身份管理已取得实际进展。欧盟推出了eIDAS 2. 0和欧洲区块链服务基础设施（EBSI），旨在颁发不可篡改的数字文凭和凭证，覆盖成员国。德国和韩国也在测试基于区块链的数字ID系统，可能取代本国的实体身份证。同时，初创企业如Dock Labs、Polygon ID和TrustCloud等，正开发平台，让个人创建、管理并有选择性地分享凭证，用于政府、银行、教育等多个领域的访问。 总结来说，16亿密码泄露揭示了传统登录系统的严重缺陷，也凸显了迫切需要采用更安全、更私密、由用户掌控的区块链数字身份方案，从而实现更强的安全保障。