# 兩招對抗電話騙案,阿嬤都懂的打詐術 *區塊鏈社會學 #159 2024.07.04* By [DHK dao](https://paragraph.com/@dhk) · 2024-07-03 zh, dao, security --- 1、六月份的 UBR 合作方獵人書店超用心的說,把[21 本選書](https://airtable.com/appzmQUHrHGLw84mR/shrn4UCPBRubDy6cv/tbllFCSTnrHG3kgWY)整理到一個書架,還準備了本該由我提供的簡介,解釋計畫的理念和做法。購書期到七月底為止,請到獵人買書,幫助香港保存好書吧。 2、今天(7.4,星期四)16:30-18:30,我會漂流到[旺角 Happy Belly](https://maps.app.goo.gl/y6Ec9vwzHthoZawT9) 喝杯熱茶、吃個刈包,等著讀者隨緣到場開錢包領 DHK token,或者聊聊別的。雖然連續進行了四星期,但請別忘了漂流教室是不定期,不定地點的 pop-up store,我只是最近稍微勤快而已。 3、DHK dao 第五次會議將於 7.5 星期五 21:00 在 [meet.google.com/wip-mopt-cks](https://meet.google.com/wip-mopt-cks) 舉行,粵語討論,歡迎任何人出席。 以下為內文。 [Connect Wallet](https://paragraph.xyz/@dhk/5mYhD62GPb8yKYueIqFh) * * * 近年電話騙案橫行,家裡有長者的,多半接過詐騙電話,裝作氣急敗壞的騙徒聲稱是自己兒女,因某些原因急著要錢;要是對方先進一點用上「AI 聲演」,像真度可達以假亂真的地步。 科技日新月異,面對不法之徒,該如何讓老人學會應對? 阿嬤低端打詐術 ------- 家母年事已高,兒孫滿堂,正是受騙的高危一族,也的確曾經接到這種詐騙電話,幸好致電被冒充的家兄確認,識破騙局。事後,我教家母使用軟件分析來電是否生成式 AI… 開玩笑,真實情況是,我跟家人約定口令「123」,請家母接到類似來電時要求對方提供口令,但凡說不出「123」的,一律視作騙徒。這解方無疑超級老套,經常出現在粵語殘片,不過「橋唔怕舊,最緊要受」,況且騙徒利用的也是超級老舊的手段,以口令應付,算是木門對木門。 或許你已經發現,家母致電家兄確認,正是先前提過的 2FA 雙因子認證,可見她的過人之處,要是出生晚一點,說不定會是個黑客。至於口令,對應的顯然是密碼,由此可見,防範在數位世界被駭也好,識破物理世界的詐騙也好,原理大同小異,一組不易外洩的密碼(你不至於以為我家的口令真的是「123」吧!?),加上 2FA,阿嬤都能學會。 我曾在[〈密碼學不是學密碼〉](https://ckxpress.com/on-cryptography-and-password/)一文以「芝麻開門」比喻數位世界的密碼,其實不太精準。試想想,阿里巴巴也好,馬雲四十大盜也好,無關身分,任何人喊出「芝麻開門」都能打開洞穴的入口,得到相同的寶藏,計算機科學的術語把這種特性稱為「stateless」,即沒有狀態,在這裡的語境即是沒有身分。我剛隨意搜搜想知道中文怎麼翻譯,Google 居然說「沒有國籍」,真是歪打正著,教人傷感。 相對而言,當前流行的互聯網服務絕大部分都是「stateful」,即會因應你的身分給出不同結果,Alice 和 Bob 打開同一條鏈結,看到的東西往往不一樣。因此,數位世界的密碼總是搭配用戶名使用,單提供密碼「opensesame」沒法進入系統,而單提供用戶名不能直接進入系統,就更加是常識了......且慢——很少有人知道,在互聯網發展初期,確實有單靠用戶名就能以相應身分使用的論壇,另外,在著名學府 MIT,電腦即使需要登錄,但當時有著使用同一密碼的默契,共享資源,那簡直是「Trust. Don’t verify.」的年代,一去不復返。 拆開來理解,用戶名與密碼其實擔當不同角色,前者記錄身分,後者用作通行,合併使用,但凡成功認證就能動用相應用戶名的資料與資產,各種行為產生的數據,也將關連於這個身分。 沒有身分、沒有國籍 --------- 很多人覺得 web3 難用,原因有很多,當中較少被提及的是,相對於傳統 web2 應用皆為 stateful,web3 上的分散式應用 dapps 是 stateless 的,容易讓人水土不服,需要時間適應。 如果你有點經驗,或許會覺得奇怪,使用 dapps 不是也需要用錢包登錄嗎。是,也不是。細心留意的話,會發現 dapps 需要到錢包時通常會用「連接」(connect)一詞,而較少用「登錄」(login)這個說法;如有 dapps 用「登錄」的話,可能是考慮到對用戶比較好懂,事實上並不準確。 純正的 dapps 如 Uniswap 和 Aave 等,不會提供電郵和密碼登錄,原因是用戶的 state 無法存於區塊鏈這份公開帳本,一旦提供傳統登錄方式,就得使用傳統的數據庫儲存用戶資料,代表滲入了中心化元素,遇上公司倒閉或天災人禍導致單點故障,用戶數據就會丟失。 以往多次提到,我們常說的區塊鏈「錢包」是個很誤導的術語,密碼貨幣從來都不在錢包裡,甚至根本就沒有型態,比較接近的類比是鑰匙圈或者鑰匙包。當 dapps 要求用戶「連接錢包」,翻譯成白話就是「請從你的鑰匙包拿出鑰匙,插入鎖孔」。如果類比在物理世界打開家門,這代表裡頭的東西你可任意用;如果你是阿里巴巴,憑著咒語鑰匙「芝麻開門」就能拿取寶藏。在以上例子,「鑰匙」就是 private key 私鑰,「鎖孔」就是 public key 公鑰,而認匙不認人,任何人憑著私鑰都能取用區塊鏈所記錄的相應資產,這個特性就是 stateless。 Password + Private key = Passkey? --------------------------------- 「用戶名 + 密碼」的登錄機制普及了三十多年,但一直問題多多,好記的密碼不安全,安全的密碼不好記,容易被釣魚之餘,還要面對服務供應商數據洩漏的風險,用戶躺著中槍。 另一邊廂,基於密碼學「公鑰 + 私鑰」的不對稱加密、解密機制,由比特幣等應用實證保安度高,牢不可破,但沒法存儲用戶的狀態,體驗更是強差人意,光是要求用戶自行存好私鑰或助記詞,否則丟失所有資產,就足以嚇跑絕大部分潛在用戶。 有見及此,業界於年前推出了 passkey 標準,務求兼收並蓄,同時利用兩種機制的好處。稍後在資安系列的第四篇,我們將討論 passkey 的基本原理,了解它如何兼容 stateful 的傳統應用之餘,又能像區塊鏈般難以破解,更重要的是,passkey 使用起來要比密碼登錄和錢包鏈接都更加簡便。 (後記:讀者不一定感覺到,這期週報比較一般的短。上期週報開信率暴跌三分之二,只有 11%,讓我十分困擾,搞不清是因為我只顧寫內文而沒花心思在標題,題目取得像悶死人的教科書(刊出後發現數據極差,我修改了網頁版的文章標題,但已發的郵件當然沒法修改標題)、資安系列過於正經八股、還是純粹是很 buggy 的 Paragraph 統計有誤。總之,在資安系列中 [2FA 的起](https://ckxpress.com/substack-2fa/)、[password 的承](https://ckxpress.com/password-manager/)之後,合到 passkey 之前,負責轉的這篇第三部,我寫的戰戰兢兢,盡可能長話短說,並取個平易近人的題目,希望能讓開信率回到原有水平。 至於[上期週報](https://ckxpress.com/password-manager/),建議沒打開的讀者補讀,我剛重看,覺得雖然可以略作調動,少點學術,多些趣味,但總體內容相當有用,實在不值得被打落冷宮。) * * * p.s. 七一假期,趁機執拾。家裡東西挺少,就是書稍微多,為節省空間,除了特別大的繪本之類,其他書分前後兩層安放,後面的平日看不到。經過一輪調動,中國相關的書籍全部安置到後面的一層。我不確定,這算執拾書本,還是收拾心情。 --- *Originally published on [DHK dao](https://paragraph.com/@dhk/stateless)*