2022年11月底，在世界上某個不知名的角落，一群駭客費盡心思成功攻破了某個雲端儲存伺服器，並拿到了其中所儲存的、數量眾多的資料。

但這些資料並不簡單，因為它們隸屬於知名的密碼保管軟體LastPass。這是一個主打“幫使用者記住密碼”的跨平臺第三方軟體，換句話來說，在它的伺服器裡理所當然地會儲存有大量的使用者密碼。它們可能是某個人的手機鎖屏密碼、某家公司的電腦開機密碼，也有可能是更關鍵的銀行卡密碼、遊戲登入賬密、醫療賬戶資訊……

然而，“得手”的駭客在開啟他們竊取到的檔案時，映入眼簾的並不是能夠“發家致富”的大量賬號密碼，而是一串串完全不知所云的亂碼。

是的，這並不是我們三易生活想象出來的場景，而是基於近日的真實事件所做的合理演繹。LastPass所使用的的第三方雲端儲存伺服器確實被駭客攻破了，但駭客們也確實沒有拿到任何有意義的資訊。

為什麼會這樣？其實這就要提到LastPass以為傲的“零知情”（Zero Knowledge）架構，以及現在一部分網際網路相關軟體所使用的、類似的隱私保護措施了。

何謂“零知情”？簡單來說，作為一款“密碼管理軟體”，LastPass的基本原理當然是記錄、儲存使用者的賬號密碼，並在使用者需要的時候實現自動填充。但在這個記錄、儲存的過程中，LastPass會對所有的賬號、密碼進行高度加密運算，而其加密金鑰的生成以及整個加密運算過程，都是在使用者的本地裝置上進行。

這樣一來，被上傳到雲端備份的其實就只有加密後的資料。LastPass本身並不讀取、也不持有加密金鑰（因為是在使用者的裝置上隨機生成、而非事先定好的），更不在雲端執行加解密過程。換句話來說，就連他們自己也無法對這些儲存在雲端的資料進行“解密”，更不要說竊取到資料的駭客了。

當然，我們不能因為“駭客無法解密得到實際的使用者資料”這個結果，就認為LastPass在此次事件當中毫無責任，畢竟伺服器被攻破了，（已加密的）資料被竊取了是事實。但LastPass的“零知情”架構，成功阻止了駭客得到實際“有用”的資料，同樣也是事實。

而且哪怕是不發生駭客攻擊事件，僅從職業道德的角度來說，作為一款密碼管理軟體，採用這種“讓自己（內部的）人都看不到使用者資料”的設計，想來也確實是理所應當的。

然而這就不禁會令我們產生一個額外的聯想，如果“零知情”架構如此有效，為什麼它並沒有被大家所熟知的那些網際網路應用（比如各大瀏覽器、聊天軟體、購物軟體）廣泛採用呢？

其實背後的原因，也不難理解。因為站在網際網路公司的商業利益角度去考量，基於使用者資訊、使用者習慣收集而來的廣告，或者說智慧推送，往往是非常重要的一項盈利業務。

比如瀏覽器可能會分析瀏覽和搜尋記錄，從而推斷你的購物喜好；社交軟體可能會“窺探”聊天記錄，從中找到你對新聞、生活、購物各方面的需求，進而體現在推送內容上；電商軟體就更不用說了，它們可從來都不會掩飾對於你購物資料的“分析”和跟蹤。

相比之下，LastPass會採用“零知情”架構，一方面當然是因為其本身是密碼管理軟體，只有這樣做才能讓使用者感到安心。另一方面來說，賬號密碼這些東西看似重要，但它們對於網際網路公司的“價值”，其實遠沒有那麼高，畢竟誰也不敢明明白白地直接侵犯使用者隱私。

而且不同於瀏覽記錄、購物車資訊，從賬號密碼當中幾乎也沒可能提取出什麼“使用者畫像”。既然如此，上點技術手段、做出一幅重視隱私的姿態，自然也就成為了既無損於企業商業利益，又能博得使用者信賴的唯一正解。

【本文圖片來自網路】