兩招對抗電話騙案，阿嬤都懂的打詐術

1、六月份的 UBR 合作方獵人書店超用心的說，把 21 本選書整理到一個書架，還準備了本該由我提供的簡介，解釋計畫的理念和做法。購書期到七月底為止，請到獵人買書，幫助香港保存好書吧。

2、今天（7.4，星期四）16:30-18:30，我會漂流到旺角 Happy Belly 喝杯熱茶、吃個刈包，等著讀者隨緣到場開錢包領 DHK token，或者聊聊別的。雖然連續進行了四星期，但請別忘了漂流教室是不定期，不定地點的 pop-up store，我只是最近稍微勤快而已。

3、DHK dao 第五次會議將於 7.5 星期五 21:00 在 meet.google.com/wip-... 舉行，粵語討論，歡迎任何人出席。

以下為內文。

近年電話騙案橫行，家裡有長者的，多半接過詐騙電話，裝作氣急敗壞的騙徒聲稱是自己兒女，因某些原因急著要錢；要是對方先進一點用上「AI 聲演」，像真度可達以假亂真的地步。

科技日新月異，面對不法之徒，該如何讓老人學會應對？

阿嬤低端打詐術

家母年事已高，兒孫滿堂，正是受騙的高危一族，也的確曾經接到這種詐騙電話，幸好致電被冒充的家兄確認，識破騙局。事後，我教家母使用軟件分析來電是否生成式 AI… 開玩笑，真實情況是，我跟家人約定口令「123」，請家母接到類似來電時要求對方提供口令，但凡說不出「123」的，一律視作騙徒。這解方無疑超級老套，經常出現在粵語殘片，不過「橋唔怕舊，最緊要受」，況且騙徒利用的也是超級老舊的手段，以口令應付，算是木門對木門。

或許你已經發現，家母致電家兄確認，正是先前提過的 2FA 雙因子認證，可見她的過人之處，要是出生晚一點，說不定會是個黑客。至於口令，對應的顯然是密碼，由此可見，防範在數位世界被駭也好，識破物理世界的詐騙也好，原理大同小異，一組不易外洩的密碼（你不至於以為我家的口令真的是「123」吧！？），加上 2FA，阿嬤都能學會。

我曾在〈密碼學不是學密碼〉一文以「芝麻開門」比喻數位世界的密碼，其實不太精準。試想想，阿里巴巴也好，馬雲四十大盜也好，無關身分，任何人喊出「芝麻開門」都能打開洞穴的入口，得到相同的寶藏，計算機科學的術語把這種特性稱為「stateless」，即沒有狀態，在這裡的語境即是沒有身分。我剛隨意搜搜想知道中文怎麼翻譯，Google 居然說「沒有國籍」，真是歪打正著，教人傷感。

相對而言，當前流行的互聯網服務絕大部分都是「stateful」，即會因應你的身分給出不同結果，Alice 和 Bob 打開同一條鏈結，看到的東西往往不一樣。因此，數位世界的密碼總是搭配用戶名使用，單提供密碼「opensesame」沒法進入系統，而單提供用戶名不能直接進入系統，就更加是常識了……且慢——很少有人知道，在互聯網發展初期，確實有單靠用戶名就能以相應身分使用的論壇，另外，在著名學府 MIT，電腦即使需要登錄，但當時有著使用同一密碼的默契，共享資源，那簡直是「Trust. Don’t verify.」的年代，一去不復返。

拆開來理解，用戶名與密碼其實擔當不同角色，前者記錄身分，後者用作通行，合併使用，但凡成功認證就能動用相應用戶名的資料與資產，各種行為產生的數據，也將關連於這個身分。

沒有身分、沒有國籍

很多人覺得 web3 難用，原因有很多，當中較少被提及的是，相對於傳統 web2 應用皆為 stateful，web3 上的分散式應用 dapps 是 stateless 的，容易讓人水土不服，需要時間適應。

如果你有點經驗，或許會覺得奇怪，使用 dapps 不是也需要用錢包登錄嗎。是，也不是。細心留意的話，會發現 dapps 需要到錢包時通常會用「連接」（connect）一詞，而較少用「登錄」（login）這個說法；如有 dapps 用「登錄」的話，可能是考慮到對用戶比較好懂，事實上並不準確。

純正的 dapps 如 Uniswap 和 Aave 等，不會提供電郵和密碼登錄，原因是用戶的 state 無法存於區塊鏈這份公開帳本，一旦提供傳統登錄方式，就得使用傳統的數據庫儲存用戶資料，代表滲入了中心化元素，遇上公司倒閉或天災人禍導致單點故障，用戶數據就會丟失。

以往多次提到，我們常說的區塊鏈「錢包」是個很誤導的術語，密碼貨幣從來都不在錢包裡，甚至根本就沒有型態，比較接近的類比是鑰匙圈或者鑰匙包。當 dapps 要求用戶「連接錢包」，翻譯成白話就是「請從你的鑰匙包拿出鑰匙，插入鎖孔」。如果類比在物理世界打開家門，這代表裡頭的東西你可任意用；如果你是阿里巴巴，憑著咒語鑰匙「芝麻開門」就能拿取寶藏。在以上例子，「鑰匙」就是 private key 私鑰，「鎖孔」就是 public key 公鑰，而認匙不認人，任何人憑著私鑰都能取用區塊鏈所記錄的相應資產，這個特性就是 stateless。

Password + Private key = Passkey?

「用戶名 + 密碼」的登錄機制普及了三十多年，但一直問題多多，好記的密碼不安全，安全的密碼不好記，容易被釣魚之餘，還要面對服務供應商數據洩漏的風險，用戶躺著中槍。

另一邊廂，基於密碼學「公鑰 + 私鑰」的不對稱加密、解密機制，由比特幣等應用實證保安度高，牢不可破，但沒法存儲用戶的狀態，體驗更是強差人意，光是要求用戶自行存好私鑰或助記詞，否則丟失所有資產，就足以嚇跑絕大部分潛在用戶。

有見及此，業界於年前推出了 passkey 標準，務求兼收並蓄，同時利用兩種機制的好處。稍後在資安系列的第四篇，我們將討論 passkey 的基本原理，了解它如何兼容 stateful 的傳統應用之餘，又能像區塊鏈般難以破解，更重要的是，passkey 使用起來要比密碼登錄和錢包鏈接都更加簡便。

（後記：讀者不一定感覺到，這期週報比較一般的短。上期週報開信率暴跌三分之二，只有 11%，讓我十分困擾，搞不清是因為我只顧寫內文而沒花心思在標題，題目取得像悶死人的教科書（刊出後發現數據極差，我修改了網頁版的文章標題，但已發的郵件當然沒法修改標題）、資安系列過於正經八股、還是純粹是很 buggy 的 Paragraph 統計有誤。總之，在資安系列中 2FA 的起、password 的承之後，合到 passkey 之前，負責轉的這篇第三部，我寫的戰戰兢兢，盡可能長話短說，並取個平易近人的題目，希望能讓開信率回到原有水平。

至於上期週報，建議沒打開的讀者補讀，我剛重看，覺得雖然可以略作調動，少點學術，多些趣味，但總體內容相當有用，實在不值得被打落冷宮。）

p.s. 七一假期，趁機執拾。家裡東西挺少，就是書稍微多，為節省空間，除了特別大的繪本之類，其他書分前後兩層安放，後面的平日看不到。經過一輪調動，中國相關的書籍全部安置到後面的一層。我不確定，這算執拾書本，還是收拾心情。

Original link: chungkin Express