如何保护的移动密码安全应该注意你的设备

你知道黑客窃取了你的哪些密码吗？如果你不知道，那么你可以随时使用这个网站https://haveibeenpwned.com/来查查。总之，你可能更清楚地记得的是你丢失手机的次数，而不是你被黑的次数。

这就是Rivetz首席执行官Steven Sprague于2月26日在MWC Barcelona展会（以前称为MWC，即世界移动通信大会）上提出的安全论点背后的原因：我们应该相信人们要密切留意是他们的设备，而不是他们的密码。

多年来，硬件制造商建立了所谓的可信执行环境（TEE），它们是处理器中隔离出来的一个部分，旨在防止日常应用程序或程序访问我们最敏感的信息。英特尔提供了SGX，ARM提供了Trustzone。荷兰特文特大学的Roland van Rijswijk-Deij说：“这是很有用的功能。理论上，TEE可以防止‘正常’操作系统上的应用程序获得凭据访问权。”

为了取代传统密码，Sprague的初创公司将用户的一个私钥放入TEE，另一个放入用户的SIM卡。这意味着使用这两个密钥加密的任何消息都必须来自拥有该设备及其在移动网络运营商的活动帐户的发送者。

这使得信息非常可信——例如，银行可以更加确信信息来自其客户，而不是来自黑客。而且，这些消息可以存储在一个区块链上，以证实消息是在该硬件的安全空间中创建的，且消息自创建以来没有发生过任何事情。

这种可靠性使得该服务对Civic等合作伙伴很具有吸引力。Civic正在使用Rivetz的技术，让客户选择他们希望向在线企业透露他们身份的哪些部分（比如他们的年龄），而不需要提供任何不必要的信息。

将SIM卡包含在解决方案内，可以让你的运营商提供另一种便捷的服务：如果你的设备丢失了，那么你可以联系你的运营商，通过其他可信设备向他们核实你的身份，并远程阻止丢失的设备。与将信用卡报失时不同，如果你以后重新得到该设备，那么你可以利用其他那些受信任设备之一重新激活它。

Sprague在演讲中说：“我们是一个设备集合，不是其中任何一个设备。”

但是，与任何涉及TEE的功能一样，Rivetz技术仅适用于某些设备。目前，Rivetz提供的软件位于硬件和第三方通过软件开发套件编写的应用程序之间，仅能运行在某些版本的Android操作系统上。这意味着，如果你没有兼容的设备，则无法从其他设备（例如工作用计算机或朋友的手机）登录受Rivetz保护的应用程序。

对于普通用户来说，核实给定的TEE是否真的安全，也不是一件很容易的事。van Rijswijk-Deij说：“TEE可能是一种完全安全的设计，但用户很难去证实。实际上，你将不得不相信（制造商的）安全声明，这可能是公平的：信任必须从某个地方开始。”

Sprague说这些是值得做的权衡，银行和其他机构早就应该这么做了，而不是聚焦于涉及用户名和密码的系统（以便任何人可以从任何设备登录）。他告诉IEEE Spectrum说：“这不是关于人的身份的问题，这是关于物的身份的问题。”