/
HIPPO:用一个主密码生成所有网站密码,无需存储任何凭证
本文是IEEE Journal Watch系列的一部分,与IEEE Xplore合作发布。
大多数人对反复输入密码却被锁定账户的经历都不陌生,这往往引发一个恶性循环——不断设置新密码,又很快将其遗忘。密码管理器虽然可以帮助解决这一问题,但一旦保存的密码遭到泄露,同样面临风险。
不过,有一种不同的解决方案,无需将密码保存在服务器上,只需要用户记住一个容易记忆、甚至可以写在纸上的主密码。
在一项近期研究中,研究人员发现用户愿意多完成一个额外步骤来使用这种方式登录账户,并普遍认为其比传统手动输入密码更安全、更易用。相关成果已于2月27日发表在《IEEE Internet Computing》期刊上。
跨平台多账户密码管理的难题
要记住多个账户的不同密码,对大多数人来说是一大挑战。密码管理器通过将加密密码存储在安全的在线"保险库"中,省去了记忆每个密码的麻烦。然而,这些保险库同样可能被黑客攻破——攻击者可以入侵保险库所在的服务器,或通过入侵用户自己的设备来窃取密码。
为了克服上述挑战,一支研究团队开发了一款不存储密码的密码管理工具——HIPPO(Hidden-Password Online Password,隐藏密码在线密码系统),其以浏览器扩展插件的形式运行。
HIPPO的工作原理
用户只需记住或写下一个主密码。每当访问需要登录的网站时,输入主密码后,HIPPO便会即时生成该网站专属的密码。
具体流程如下:HIPPO浏览器扩展首先对主密码应用一种名为"遗忘伪随机函数"(Oblivious Pseudorandom Function)的密码学算法,生成一个特定于该网站的"掩码"密码,并将其发送至HIPPO服务器。服务器随后使用自身的秘密密钥进行处理,再将结果返回给浏览器。浏览器移除临时掩码后,利用最终结果即时生成该网站专属密码。
"可以把它想象成一台计算器,每次访问网站时都能即时计算出完全相同的复杂密码,从而无需将其保存在任何地方,"沙特阿拉伯贾赞大学计算机科学助理教授、HIPPO联合创始人Mohammed Jubur表示。"主密钥和派生的网站密码既不会存储在本地,也不会存储在远程服务器上——即时生成的密码会直接自动填入目标网站的登录框。"
用户测试结果
在研究中,Jubur及其同事邀请了25名志愿者对HIPPO进行评估,并与传统手动输入密码的方式进行比较。参与者需要用一张纸上给出的密码完成账户注册,然后分别用传统方式和HIPPO各登录10次,并对感知安全性、易用性等维度进行评分。
结果显示,用户对两种方式的可用性评分均为"良好"。但Jubur指出:"参与者认为HIPPO在安全性和可信度方面明显优于传统的仅凭密码登录方式。"
在感知安全性方面,HIPPO平均得分为4.04分(满分5分),而传统手动输入密码仅获得3.09分。在信任度方面,HIPPO同样以4.00分领先于传统方式的3.30分。
研究人员还发现了一个出乎意料的结果:尽管HIPPO需要额外的激活步骤(例如按下F2键或输入"@@"等前缀来触发密码生成模式),用户仍然反映HIPPO更易于使用。
"我们最初预期HIPPO的易用性只是与传统方式相当,"HIPPO联合创始人、德克萨斯A&M大学计算机科学与工程系教授兼全球网络研究所(GCRI)副所长Nitesh Saxena解释道。"然而,参与者发现反复输入复杂随机密码所带来的认知负担非常繁重,以至于即便是需要额外步骤的工具,也能够改善他们的使用体验。"
研究人员指出,此次研究规模较小,且仅为单次实验,因此还需要开展更长周期的后续研究,以进一步评估HIPPO的实际表现。
Jubur补充道,团队未来计划评估更多长期使用场景,例如测量HIPPO的操作完成时间、错误率以及账户锁定风险。
"我们还计划评估当用户需要更换主密码时的用户体验,以及由此带来的账户锁定风险——因为一旦更换主密码,用户就必须更新所有关联网站的登录凭证,"他说道。
Q&A
Q1:HIPPO是什么?它是如何保护密码安全的?
A:HIPPO(Hidden-Password Online Password)是一种以浏览器扩展形式运行的密码管理工具。用户只需记住一个主密码,每次登录网站时,HIPPO会通过密码学算法即时生成该网站专属密码,并自动填入登录框。整个过程中,主密码和生成的网站密码都不会被存储在本地或服务器上,从根本上消除了密码泄露的风险。
Q2:HIPPO和传统密码管理器有什么区别?
A:传统密码管理器将加密密码存储在在线"保险库"中,存在服务器被黑客攻击或用户设备被入侵导致密码泄露的风险。而HIPPO完全不存储密码,每次登录时都通过算法即时推导生成专属密码,服务器本身也无法获知完整密码,安全性更高。
Q3:HIPPO使用起来方便吗?普通用户能接受吗?
A:根据研究中25名志愿者的测试结果,尽管HIPPO需要额外的激活步骤(如按F2键或输入特定前缀),用户的易用性评分仍高于传统手动输入密码方式。研究人员认为,反复输入复杂密码的认知负担远大于多一个激活步骤,因此HIPPO反而让用户感觉更轻松。
0赞好文章,需要你的鼓励
推荐文章
Replit携手RevenueCat,助力“氛围编程“开发者实现应用变现
Replit与RevenueCat达成合作,将订阅变现工具直接集成至Replit平台。用户只需通过自然语言提示(如"添加订阅"),即可完成应用内购和订阅配置,无需离开平台。RevenueCat管理超8万款应用的订阅业务,每月处理约10亿美元交易。此次合作旨在让"氛围编程"用户在构建应用的同时即可实现商业变现,月收入未达2500美元前免费使用,超出后收取1%费用。
北京大学携手北邮,教AI“感知光线“——让生成视频真正懂得光影的秘密
LiVER是由北京大学、北京邮电大学等机构联合提出的视频生成框架,核心创新是将物理渲染技术与AI视频生成结合,通过Blender引擎计算漫反射、粗糙GGX和光泽GGX三种光照图像构成"场景代理",引导视频扩散模型生成光影物理准确的视频。框架包含渲染器智能体、轻量化编码器适配器和三阶段训练策略,支持对光照、场景布局和摄像机轨迹的独立精确控制。配套构建的LiVERSet数据集含约11000段标注视频,实验显示该方法在视频质量和控制精度上均优于现有方法。
所有人都在谈AI护栏,但真正在构建它的人在哪里?
所有人都说AI需要护栏,但真正在构建它的人寥寥无几。SkipLabs创始人Julien Verlaguet深耕这一问题已逾一年,他发现市面上多数"护栏"不过是提示词包装。为此,他打造了专为后端服务设计的AI编程智能体Skipper,基于健全的TypeScript类型系统与响应式运行时,实现增量式代码生成与测试,内部基准测试通过率超90%。他认为,编程语言的"人类可读性时代"正走向终结,面向智能体的精确工具链才是未来。
米拉-魁北克AI研究所教会小模型“聪明干活“:用更少数据超越GPT-4o的网页智能体训练秘诀
这项由蒙特利尔学习算法研究所(Mila)与麦吉尔大学联合发布的研究(arXiv:2604.07776,2026年4月)提出了AGENT-AS-ANNOTATORS框架,通过模仿人类数据标注的三种角色分工,系统化生成高质量网页智能体训练轨迹。以Gemini 3 Pro为教师模型,仅用2322条精选轨迹对90亿参数的Qwen3.5-9B模型进行监督微调,在WebArena基准上达到41.5%成功率,超越GPT-4o和Claude 3.5 Sonnet,并在从未见过的企业平台WorkArena L1上提升18.2个百分点,验证了"数据质量远比数量重要"这一核心结论。
2026
04/13
16:29
分享
点赞
Replit携手RevenueCat,助力"氛围编程"开发者实现应用变现
所有人都在谈AI护栏,但真正在构建它的人在哪里?
Chrome版Gemini新增"技能"功能,支持保存并复用常用AI提示词
OpenAI推出药物研发专属AI模型GPT-Rosalind
NanoClaw携手Vercel,为AI智能体敏感操作打造一键审批机制
SaySo:专为重建新闻信任而生的短视频应用
Loop完成9500万美元C轮融资,用AI预测并化解供应链风险
使用MacBook Neo一个月后,我发现了它的性能极限
服务器机房的门锁形同虚设,安全认证险些露馅
Isabelle/HOL:驱动Nitro隔离引擎背后的形式化证明工具
鹏鼎控股泰国建厂:全球PCB龙头如何用42.97亿元押注AI服务器
Agent赋能保险理赔:从“人工苦海”到“智能闭环”
京公网安备 11010802021500号 京网文(2025) 0096-033号 京字第20868号
