如果1.83亿个密码都能泄露而世界仍在转动,我们到底把密码看作什么?最新加入 Have I Been Pwned 的数据集,经确认包含 Gmail 凭证,看起来不像一次单纯的入侵事件,更像是对建立在不会保密的共享秘密之上的系统进行的审计。Troy Hunt 的分析显示其中 92% 的凭证此前已出现过,但仍有 1,640 万条是新的。这就是悖论。大部分只是陈旧噪声,但小部分剩余就足以影响市场、扰乱客户支持队列并考验数字生活的信任假设。
把 1.83 亿这个数字当作基准发生率,而非离群值。Hunt 描述了一个 3.5 TB 的宝库,约 230 亿行,来源于 infostealer 日志和凭证填充列表。这种规模现在已成常态。Google 引导用户启用两步验证和 passkeys 的声明听起来像套话,因为它确实是。关键的细节不是头条的数量,而是产生这些泄露的过程。数据被证实足够新鲜,以至于受影响的用户验证了 Gmail 密码。从概率上讲,只要信号在总体中占很小一部分,也足以危险——当攻击成本接近零且自动化广泛时尤其如此。把注意力锚定在总数的投资者和运营者,会错过真正重要的暴露曲线:数百万次登录尝试中被攻破的边际概率。
Infostealer 并非稀有恶意软件。它们是商品化工具,捕获用户键入的内容和浏览器存储的内容:网站 URL、电子邮件地址、密码。这组三件套就是万能钥匙,因为互联网仍然运行在可以复制的持票人凭证之上。被窃的会话暴露你的习惯。一次填充攻击可以把一次泄露变成跨平台的入侵。这是腐蚀,而不是入室盗窃。它悄然侵蚀账户认证的承重要素,然后在压力骤增时造成突然断裂。如果身份层在常规压力下就会失效,那么它就是设计上脆弱的。
92% 的条目此前已见并不能令人放心。重用和细微变体把那些旧条目绑成一张相关性网络。在信用市场中,隐藏的相关性会在尾部到来时把良性的模型变成武器。凭证系统也有同样的缺陷。一条泄露的密码可能打开电子邮件、银行、税务软件、社交账户。厚尾存在,因为相同的秘密到处被接受。两步验证降低了相关性。Passkeys 则完全移除了共享秘密。但平台通常会先定价摩擦再应对泄露。激励是把风险时间视野向外推,并寄希望于尾部发生在别人身上。这是一场有数十亿把椅子但几乎无出口的音乐椅游戏。
加入 HIBP 的数据集来自近一年对 infostealer 平台的监控。这是一个简单方程的结果:平台囤积数据,因为更多数据似乎带来更多增长。但每新增一个字段、每缓存一条凭证,都是放射性废物。它不会按有用的时间表衰变。回想 Google 在 2018 年的 Google Plus API 泄露。它足以损害一个弱势产品并加速其关闭。按今天的衡量标准那次泄露规模不大,但它证明了一个观点:当信任和参与度低时,安全事件会撬动天平。数据保留政策和最小化通常被当作合规事务而非资本配置。它们应被当作负债来计分,带有预期损失和相关性乘数。如果你不能解释为什么需要某个数据集以及如何销毁它,你就是在仓储尾部风险,而不是在构建资产。
关于大规模、平台范围泄露的说法经常流传。2025 年初曾有关于 28 亿 X 账户数据的指控,后续分析表明这些数字被夸大了。模式比争论本身更重要。虚假的规模能够引起恐慌重置、淹没支持团队并驱动糟糕的安全选择。从博弈论角度看,这属于廉价言辞,但仍会改变收益结构。当防守方浪费周期时,攻击者受益。市场在无法验证影响时会错误定价暴露。累积效果是信任侵蚀和神经质行为,这反而帮助真实入侵隐藏在迷雾中。健全的防御姿态认识到数字会朝两个方向出错,并构建检测与响应以容忍这种不确定性。
大规模密码重置和严厉的邮件看起来果断。它们也是改变的低配版本。它们在毒素扩散之后处理症状。反脆弱系统则追求相反:从小而频繁的压力中受益以改善整体。这意味着设计出一种认证机制,攻击者越多尝试就越难被利用。Passkeys 是一条路径。基于风险的检查和最小权限访问是另一条。针对身份(而不仅仅是基础设施)进行的泄露演练,把假设风险转化为排练过的响应。所有这些都不需要英雄行为或高调声明。它需要接受失败是系统的特征并把它们当作燃料。剧场避免痛苦并赢得时间。反脆弱现在承受小切口以避免将来出血。
身份已经是基础设施。它应当像基础设施那样定价和披露。首席财务官应该把密码视为表外债务并报告它。多少活跃用户使用 passkeys 或两步验证?凭证的中位年龄是多少,跨产品表面的重用率是多少,检测并撤销滥用的平均时间是多少?网络保险和再保险很快就会要求这些数据。公开市场也会跟进。如果你的业务核心运行依赖登录,那么登录风险应以与流失率、现金转换和运行时间相同的严谨性出现在投资者材料中。这并非为了羞辱落后者,而是为了揭示隐藏的脆弱性,以便资本流向那些减少相关性失效而非掩盖它的公司。
把问题反过来。假定凭证层已被攻破。什么会被破坏,爆炸半径会延伸多远?缩短秘密的半衰期,让暴露能迅速消亡。尽可能移除共享秘密。对系统进行分段,使一扇门打不开整座房子。接受一些摩擦,以显著降低相关性。把 HIBP 与类似检查当作早期预警信号,而非安全保证。记住本周的数字:92% 循环使用,8% 是新的。那一小块就足以驱动大规模、廉价的攻击。建立在静态密码之上的稳定性是悬崖前的高原,正如 Seneca 所描述的迅速毁灭。解决方案不是更响亮的警告,而是一个不再要求脆弱秘密承载数字经济重量的新基础。
