你知道黑客竊取了你的哪些密碼嗎？如果你不知道，那么你可以隨時(shí)使用這個(gè)網(wǎng)站https://haveibeenpwned.com/來(lái)查查。總之，你可能更清楚地記得的是你丟失手機(jī)的次數(shù)，而不是你被黑的次數(shù)。

這就是Rivetz首席執(zhí)行官Steven Sprague于2月26日在MWC Barcelona展會(huì)（以前稱為MWC，即世界移動(dòng)通信大會(huì)）上提出的安全論點(diǎn)背后的原因：我們應(yīng)該相信人們要密切留意是他們的設(shè)備，而不是他們的密碼。

多年來(lái)，硬件制造商建立了所謂的可信執(zhí)行環(huán)境（TEE），它們是處理器中隔離出來(lái)的一個(gè)部分，旨在防止日常應(yīng)用程序或程序訪問(wèn)我們最敏感的信息。英特爾提供了SGX，ARM提供了Trustzone。荷蘭特文特大學(xué)的Roland van Rijswijk-Deij說(shuō)：“這是很有用的功能。理論上，TEE可以防止‘正常’操作系統(tǒng)上的應(yīng)用程序獲得憑據(jù)訪問(wèn)權(quán)。”

為了取代傳統(tǒng)密碼，Sprague的初創(chuàng)公司將用戶的一個(gè)私鑰放入TEE，另一個(gè)放入用戶的SIM卡。這意味著使用這兩個(gè)密鑰加密的任何消息都必須來(lái)自擁有該設(shè)備及其在移動(dòng)網(wǎng)絡(luò)運(yùn)營(yíng)商的活動(dòng)帳戶的發(fā)送者。

這使得信息非常可信——例如，銀行可以更加確信信息來(lái)自其客戶，而不是來(lái)自黑客。而且，這些消息可以存儲(chǔ)在一個(gè)區(qū)塊鏈上，以證實(shí)消息是在該硬件的安全空間中創(chuàng)建的，且消息自創(chuàng)建以來(lái)沒(méi)有發(fā)生過(guò)任何事情。

這種可靠性使得該服務(wù)對(duì)Civic等合作伙伴很具有吸引力。Civic正在使用Rivetz的技術(shù)，讓客戶選擇他們希望向在線企業(yè)透露他們身份的哪些部分（比如他們的年齡），而不需要提供任何不必要的信息。

將SIM卡包含在解決方案內(nèi)，可以讓你的運(yùn)營(yíng)商提供另一種便捷的服務(wù)：如果你的設(shè)備丟失了，那么你可以聯(lián)系你的運(yùn)營(yíng)商，通過(guò)其他可信設(shè)備向他們核實(shí)你的身份，并遠(yuǎn)程阻止丟失的設(shè)備。與將信用卡報(bào)失時(shí)不同，如果你以后重新得到該設(shè)備，那么你可以利用其他那些受信任設(shè)備之一重新激活它。

Sprague在演講中說(shuō)：“我們是一個(gè)設(shè)備集合，不是其中任何一個(gè)設(shè)備。”

但是，與任何涉及TEE的功能一樣，Rivetz技術(shù)僅適用于某些設(shè)備。目前，Rivetz提供的軟件位于硬件和第三方通過(guò)軟件開(kāi)發(fā)套件編寫的應(yīng)用程序之間，僅能運(yùn)行在某些版本的Android操作系統(tǒng)上。這意味著，如果你沒(méi)有兼容的設(shè)備，則無(wú)法從其他設(shè)備（例如工作用計(jì)算機(jī)或朋友的手機(jī)）登錄受Rivetz保護(hù)的應(yīng)用程序。

對(duì)于普通用戶來(lái)說(shuō)，核實(shí)給定的TEE是否真的安全，也不是一件很容易的事。van Rijswijk-Deij說(shuō)：“TEE可能是一種完全安全的設(shè)計(jì)，但用戶很難去證實(shí)。實(shí)際上，你將不得不相信（制造商的）安全聲明，這可能是公平的：信任必須從某個(gè)地方開(kāi)始。”

Sprague說(shuō)這些是值得做的權(quán)衡，銀行和其他機(jī)構(gòu)早就應(yīng)該這么做了，而不是聚焦于涉及用戶名和密碼的系統(tǒng)（以便任何人可以從任何設(shè)備登錄）。他告訴IEEE Spectrum說(shuō)：“這不是關(guān)于人的身份的問(wèn)題，這是關(guān)于物的身份的問(wèn)題。”