現(xiàn)有的密碼系統(tǒng)就像是一個(gè)早已不堪重負(fù)的老式蒸汽輪機(jī)，問(wèn)題頻發(fā)，卻不得不繼續(xù)驅(qū)動(dòng)著整個(gè)互聯(lián)網(wǎng)繼續(xù)航行。但業(yè)內(nèi)也開(kāi)始意識(shí)到這些歷史遺留問(wèn)題，打算直接另起爐灶，打造一套可以完全取代密碼的驗(yàn)證機(jī)制。

在一個(gè)叫“PasswordMonster”的網(wǎng)站上可以測(cè)試人們常用的密碼是否安全。輸入“123456”，網(wǎng)站顯示這個(gè)密碼被破解的時(shí)間是0 秒?！?8888888”則是0.01 秒。

現(xiàn)在，你很容易就能找到類似“如何設(shè)置一個(gè)無(wú)法破解的密碼”的教程，花一點(diǎn)心思就可以創(chuàng)建一個(gè)十分復(fù)雜、難以被破解的密碼。但問(wèn)題是，你很有可能記不住，然后陷入“忘記密碼- 重置密碼- 忘記密碼”的循環(huán)。

如果互聯(lián)網(wǎng)干脆不用密碼呢？我們是不是就可以不記密碼，也不怕數(shù)據(jù)泄漏？

密碼這個(gè)“老東西”，有不少問(wèn)題

20 世紀(jì)60 年代，“口令”這一概念伴隨初代互聯(lián)網(wǎng)誕生，最初的理念是通過(guò)用戶定制化的密碼設(shè)計(jì)，讓使用者本身成為這個(gè)安全系統(tǒng)中的一道重要防線。

這套系統(tǒng)在之后幾十年里一直行之有效，甚至可以說(shuō)正是基于這套口令驗(yàn)證系統(tǒng)，互聯(lián)網(wǎng)才得以有了用戶登錄的入口，才得以繁榮發(fā)展。

理論上，密碼對(duì)于抵御常見(jiàn)的黑客破譯仍然行之有效。當(dāng)你設(shè)置了一個(gè)非常復(fù)雜的密碼，即使黑客用的破譯設(shè)備是超級(jí)計(jì)算機(jī)，也要花很長(zhǎng)時(shí)間才能破解。

但進(jìn)入21 世紀(jì)，移動(dòng)互聯(lián)網(wǎng)時(shí)代高速發(fā)展，大多數(shù)人會(huì)擁有數(shù)百個(gè)需要設(shè)置密碼的互聯(lián)網(wǎng)賬戶，在多個(gè)平臺(tái)使用相同的密碼幾乎變成無(wú)法避免的事。更讓人害怕的是，存放這些賬戶信息的數(shù)據(jù)庫(kù)也有泄露風(fēng)險(xiǎn)。

對(duì)信息已被泄漏的用戶來(lái)說(shuō)，更致命的是，暴露一個(gè)平臺(tái)的賬號(hào)密碼等信息，等同于暴露多個(gè)平臺(tái)的信息，因?yàn)楹芏嘤脩粼诓煌脚_(tái)上使用的是同一密碼。

如今規(guī)模龐大的黑客組織，通常會(huì)用各種渠道得到已經(jīng)泄漏的數(shù)據(jù)庫(kù)，并通過(guò)整合，描繪出一個(gè)人在互聯(lián)網(wǎng)中的各種足跡，然后歸檔到一起，搭建“社工庫(kù)”。你可能就在這個(gè)過(guò)程中，被大致推斷出你在其他平臺(tái)的密碼。

還有成本更低的騙局。不法分子會(huì)利用現(xiàn)有的泄漏信息，通過(guò)網(wǎng)絡(luò)釣魚(yú)，直接向真人騙取更多信息。最常見(jiàn)的是山寨登錄網(wǎng)站以及詐騙電話，即使你設(shè)置了由各種隨機(jī)數(shù)字、字母、符號(hào)組成的超高強(qiáng)度密碼，但在幾乎1:1 復(fù)刻官方登錄頁(yè)面的詐騙網(wǎng)站面前，也很容易掉坑里。

由此可見(jiàn)，現(xiàn)行的這套口令機(jī)制，很多時(shí)候反而成了信息泄漏的幫兇。

現(xiàn)有的密碼系統(tǒng)就像是一個(gè)早已不堪重負(fù)的老式蒸汽輪機(jī)，問(wèn)題頻發(fā)，卻不得不繼續(xù)驅(qū)動(dòng)著整個(gè)互聯(lián)網(wǎng)繼續(xù)航行。但業(yè)內(nèi)也開(kāi)始意識(shí)到這些歷史遺留問(wèn)題，打算直接另起爐灶，打造一套可以完全取代密碼的驗(yàn)證機(jī)制。

“無(wú)密碼”的關(guān)鍵

蘋(píng)果公司在今年的蘋(píng)果全球開(kāi)發(fā)者大會(huì)上，介紹了一個(gè)無(wú)需用戶手打繁瑣密碼的新功能——“通行密鑰”。有了它，用戶不用再輸入密碼，直接使用面部識(shí)別或者指紋識(shí)別授權(quán)使用“通行密鑰”，實(shí)現(xiàn)無(wú)密碼登錄。用戶在這個(gè)過(guò)程中，只需要通過(guò)生物特征識(shí)別。

支持以上這種體驗(yàn)的底層技術(shù)，來(lái)自一個(gè)致力于推動(dòng)“無(wú)密碼”進(jìn)程的組織——FIDO（線上快速身份驗(yàn)證） 聯(lián)盟。FIDO 制定了相關(guān)的技術(shù)標(biāo)準(zhǔn)，并向各大互聯(lián)網(wǎng)巨頭推廣。

需要注意的是，無(wú)密碼并不是真的沒(méi)有密碼。在這種模式下，用戶將手機(jī)等硬件作為主要驗(yàn)證設(shè)備，注冊(cè)賬戶時(shí)系統(tǒng)會(huì)檢測(cè)硬件信息并與之綁定。之后，用戶使用指紋、面部識(shí)別或設(shè)備密碼鎖等方式解鎖硬件設(shè)備，都將成為默認(rèn)動(dòng)作，用于之后的賬戶登錄，而無(wú)需輸入密碼。

實(shí)際上，這種無(wú)密碼的操作我們并不陌生。微信平臺(tái)的登錄就是一個(gè)例子，微信為了做到賬戶的強(qiáng)安全保障，在電腦端的登錄并不需要輸入密碼，而只能使用手機(jī)確認(rèn)身份登錄。

除了提升用戶體驗(yàn)以及保護(hù)個(gè)人賬戶信息安全外，這種方法還能讓服務(wù)提供商提供憑據(jù)，用于賬戶意外丟失后的恢復(fù)。另外，這種方式也被認(rèn)為對(duì)殘障人士和老年人用戶更為友好。

“消滅密碼”還有多遠(yuǎn)

從用戶體驗(yàn)來(lái)看，F(xiàn)IDO 與現(xiàn)在的指紋識(shí)別、人臉識(shí)別并無(wú)太大區(qū)別。最重要的區(qū)別被隱藏在了登錄頁(yè)面之下：FIDO技術(shù)并非是由系統(tǒng)生成一個(gè)隨機(jī)密碼，而是借助“公鑰+ 私鑰”的驗(yàn)證方式，在設(shè)備本地生成一個(gè)私鑰，同時(shí)賬號(hào)服務(wù)器端保留公鑰。

對(duì)于那些用戶無(wú)法輕易辨認(rèn)的釣魚(yú)網(wǎng)站，已經(jīng)在注冊(cè)中使用了FIDO 技術(shù)的賬號(hào)，檢測(cè)到本地的私鑰無(wú)法與正確的網(wǎng)頁(yè)公鑰匹配，也就不會(huì)傳輸任何信息，這樣就從根源上避免了各種高仿登錄頁(yè)面的詐騙攻擊，以及數(shù)據(jù)庫(kù)泄露帶來(lái)的風(fēng)險(xiǎn)。

消滅密碼并不簡(jiǎn)單。目前我們熟悉的互聯(lián)網(wǎng)生態(tài)，可以說(shuō)是根植于密碼驗(yàn)證機(jī)制。密碼已經(jīng)成為互聯(lián)網(wǎng)DNA 中的一部分。所以，F(xiàn)IDO 聯(lián)盟即便拉攏了業(yè)內(nèi)巨頭，也只能循序漸進(jìn)，逐步尋求突破。

消滅密碼對(duì)大多數(shù)網(wǎng)友來(lái)講，最重要的當(dāng)然還是再也不用絞盡腦汁設(shè)置密碼，忘記之后被迫重置了。