文·圖/沈臻懿

傳統(tǒng)密碼驗證技術(shù)的弊端

“互聯(lián)網(wǎng)+”時代，用戶身份驗證是一種極為普遍的應(yīng)用場景。無論是網(wǎng)站登錄、App注冊，抑或網(wǎng)銀操作等，幾乎都依賴于賬號密碼的驗證。但對于用戶體驗而言，密碼管理無疑讓人有些“抓狂”。面對各種平臺、賬戶的密碼要求——有的須加入特殊符號，有的須同時有數(shù)字、字母和符號存在，有的要求區(qū)分大小寫，有的還不允許連續(xù)數(shù)字存在……用戶往往會因密碼過多且難以記憶而倍感苦惱！倘若為了好記，設(shè)置的密碼過于單一、簡單，則可能因其防御能力弱而導(dǎo)致陷入“撞庫”“釣魚”“暴力破解”等網(wǎng)絡(luò)攻擊的風(fēng)險。

基于移動生物識別等技術(shù)對登錄者予以強(qiáng)身份信息驗證，可確認(rèn)正在使用該賬號的登錄者即為用戶本人

當(dāng)前主要的幾類密碼驗證方式中，最為常見的就是作為靜態(tài)方式的傳統(tǒng)賬號密碼驗證。由于此類密碼均可自行進(jìn)行設(shè)定，用戶通常會選擇方便記憶的密碼，如采用出生年月、電話號碼等。但這一模式下的密碼安全性較低，非常容易被不法分子暴力破解。有的用戶為了使用方便，往往會在多個網(wǎng)站、平臺之間，使用同一套密碼。這一方式看似便于記憶，一旦被不法分子竊取，即可用于“撞庫”（黑客通過收集互聯(lián)網(wǎng)已泄露的用戶和密碼信息，生成對應(yīng)的字典表，嘗試批量登錄其他網(wǎng)站后，得到一系列可以登錄的用戶）。

除靜態(tài)密碼外，諸如驗證碼、動態(tài)口令等皆屬于動態(tài)密碼驗證方式。就驗證碼來說，若用戶手機(jī)被惡意應(yīng)用軟件操控而獲取權(quán)限或短信后，即可在用戶不知情的狀況下讀取動態(tài)驗證碼，進(jìn)而導(dǎo)致用戶身份被盜用。由于不同機(jī)構(gòu)之間都有著自身專屬的一套動態(tài)口令設(shè)備，機(jī)構(gòu)與機(jī)構(gòu)之間的工具并不通用，這就令用戶往往需要同時攜帶多個口令設(shè)備，給使用帶來不便。

威瑞森通信公司（Verizon）發(fā)布的《2022年數(shù)據(jù)泄露調(diào)查報告》（DBIR）顯示，當(dāng)前82%的數(shù)據(jù)泄露都與人為失誤或網(wǎng)絡(luò)釣魚、被盜憑證等有關(guān)。作為登錄憑證的密碼已然成為絕大部分?jǐn)?shù)據(jù)安全事件的“導(dǎo)火索”。究其根源，密碼驗證本質(zhì)上是不安全的。解決問題的關(guān)鍵，還是要通過使用更為安全且便捷的替代技術(shù)以實現(xiàn)去密碼化。

何為無密碼身份驗證技術(shù)

無密碼身份驗證（Password-less Authentication），即：無須密碼亦能對用戶身份進(jìn)行證明。需要注意的是，“無密碼”與“沒有密碼”之間并不能畫上等號?！盁o密碼”強(qiáng)調(diào)的是用戶不再使用密碼方式來登錄網(wǎng)站、App或電子設(shè)備，而是換用安全系數(shù)遠(yuǎn)高于密碼驗證的操作方式進(jìn)行登錄。理想狀態(tài)下，無密碼身份驗證技術(shù)能利用全新的身份驗證方式，來全面替代現(xiàn)有的密碼驗證模式。

人工智能時代，用戶自身即是密鑰。這種無密碼身份驗證技術(shù)可以看成是一種點對點的認(rèn)證。用戶設(shè)備發(fā)起身份驗證的請求，App等平臺、程序收到請求后，用戶設(shè)備支持多種方式的身份驗證并核驗通過?；谝苿由镒R別等技術(shù)對登錄者予以強(qiáng)身份信息驗證，以確認(rèn)正在使用該賬號的登錄者即為用戶本人，從而規(guī)避傳統(tǒng)密碼所存在的安全隱患。相較于傳統(tǒng)密碼身份驗證而言，無密碼身份驗證技術(shù)“自身即密鑰”的特點，不僅管理成本低廉，且不會出現(xiàn)遺失或遺忘的狀況。同時，不可復(fù)制的自身密鑰信息，也使得造假難度大幅提升，密碼管理中的安全性能尤為凸顯。

多重保護(hù)的驗證技術(shù)，進(jìn)一步壓縮了不法之徒的違法犯罪空間

無密碼身份驗證技術(shù)不僅管理成本低廉，且不會出現(xiàn)遺失或遺忘的狀況

人工智能時代，用戶自身即密鑰，這種無密碼身份驗證技術(shù)可以看成是一種點對點的認(rèn)證

正因這一技術(shù)的普及，使得用戶不再需要記憶冗長、復(fù)雜的密碼來驗證身份；通過身體的生物特征要素，或通過身份驗證器發(fā)送到自身設(shè)備或應(yīng)用程序上的魔術(shù)鏈接（Magic links）、一次性訪問密碼等占有要素進(jìn)行驗證便可順利登錄系統(tǒng)。由于沒有密碼可供竊取或者破解，不法分子也很難再利用密碼來獲取其想要的網(wǎng)絡(luò)數(shù)據(jù)。原先因密碼泄露而導(dǎo)致的網(wǎng)絡(luò)安全事件等問題，同樣會因密碼的消失而不復(fù)存在。

此后，無密碼身份驗證技術(shù)中，有一種名為多因素身份驗證（Multi-factor Authentication，MFA）的數(shù)字身份認(rèn)證系統(tǒng)受到了大家的關(guān)注。其利用了用戶的相應(yīng)特征及要素，通過多個身份認(rèn)證的查驗點來實現(xiàn)安全保護(hù)。簡單來說，我們可以將其視為一道同時帶有鎖具、虹膜掃描以及一次性訪問密碼的“防盜門”。如果單單只有鎖具，其就如同傳統(tǒng)密碼一般容易被“撬”。而對于虹膜掃描的信息復(fù)制以及一次性訪問密碼的攔截和破解，其難度就大得多。這種多重保護(hù)的驗證技術(shù)，也進(jìn)一步壓縮了不法之徒的違法犯罪空間。

技術(shù)迭代中的物聯(lián)網(wǎng)應(yīng)用場景

無密碼身份驗證技術(shù)的發(fā)展，為企業(yè)、用戶等帶來了更高級別的安全體驗，其自身也一直處于發(fā)展變化中，從最初的1∶1認(rèn)證，逐漸發(fā)展至1∶N認(rèn)證，并隨之進(jìn)入數(shù)字—物理身份的無縫銜接時代。

無密碼身份驗證技術(shù)所需的特征信息采集，隨著三維重建、AI技術(shù)、圖像增強(qiáng)等手段的介入，已從最初接觸式的采集識別方式，轉(zhuǎn)型為了非接觸模式。用戶只需在設(shè)備前伸出自己的手，即可完成包括單指、全指、掌紋、指靜脈、掌靜脈等在內(nèi)的多種特征信息的秒級采集和毫秒級的準(zhǔn)確識別。

此外，隱私信息保護(hù)也是無密碼身份驗證技術(shù)發(fā)展過程中的一大被關(guān)注的問題。當(dāng)前，主流的信息應(yīng)用都是在平臺上保留原始信息或保存模板。這一方式對于隱私保護(hù)而言并不友好。為此，就需要將信息識別與密碼學(xué)工具予以深度融合，從而實現(xiàn)不可逆、可撤銷、非關(guān)聯(lián)的強(qiáng)隱私安全性能。

當(dāng)前，新一代的無密碼身份驗證技術(shù)已較為成熟，可在十?dāng)?shù)億的庫容下實現(xiàn)高精度、高性能的信息識別。為了更好地實現(xiàn)該技術(shù)的場景應(yīng)用，在物聯(lián)網(wǎng)的加持下，將數(shù)字世界和物理世界的身份予以鏈接，便可提供更為安全、便捷的身份驗證服務(wù)。