為什么限量球鞋你永遠搶不到?因為那些用來分辨人和機器的防線,全塌了。中午十二點,限量款開售,一千雙鞋三十秒清零。搶到的是自動程序,真實買家一無所獲。零售商試過的防御——IP限速、圖形驗證碼、手機驗證、設備指紋——剛開始管用,后來集體失效。
失效原因一模一樣:這些手段依賴的是代理。IP地址代表不同網絡,手機號代表不同人,設備指紋代表不同設備。一旦攻擊者能廉價批量獲取這些代理,防線就潰了。手機號可以批發,指紋可以隨機化,IP通過住宅代理網絡不斷切換。沒有一項防御把驗證綁在一個真實、唯一的人身上。
![]()
認證系統也救不了場。單點登錄、面部解鎖、通行密鑰、OAuth令牌,全都在做同一件事——拿進來的憑證和存好的模板比,回答匹配或不匹配。它們根本不碰那個關鍵問題:這個用戶,在別處已經驗過真身了嗎?
核心難題于是浮現:怎么讓一個真實、唯一的人在互聯網上被認出,同時永遠不暴露他是誰?World團隊(Tools for Humanity的Tiago Sada、Lily Gordon等人)正在啃這塊骨頭。他們拆出了必須解決的五個支柱。
一、唯一性。這和普通認證不同。拿手機面部解鎖說:設機時拍一張面部模板存本地,此后每次解鎖都拍新照,只和那一張模板比——比較空間就一個。匹配就開鎖,不匹配就拒。可這只能在一部手機里判斷你是不是同一個機主,完全擋不住同一個人拿另一部手機再注冊一個新身份。唯一性要的,是整個網絡范圍內的一人一號,難度遠高于本地比一次。
二、匿名性。發放憑證時,不許讓任何人知道用戶是誰。
三、恢復。丟了手機、重裝了應用,系統怎樣讓你把身份找回來?
四、驗證。出示憑證時,怎么只給出最少必要信息,其他一點不露?
五、委托。當持有憑證的是一個替你干活的AI代理,規則又得怎么改?
每個支柱都踩在現有技術的盲區上。驗證碼已經老得掉渣,設備指紋像紙糊的墻。證明“你是人”這場攻防,才剛開始暴露它真正的脆弱。
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.