宗禾

現(xiàn)在，你很容易就能找到教程，花一點(diǎn)心思就可以創(chuàng)建一個十分復(fù)雜、難以破解的密碼。但問題是，你很有可能記不住，然后陷入“忘記密碼—重置密碼—忘記密碼”的循環(huán)。

如果互聯(lián)網(wǎng)干脆不用密碼呢？我們是不是就可以不記密碼，也不怕數(shù)據(jù)泄露？

密碼這個“老東西”，有不少問題

20世紀(jì)60年代，“口令”這一概念伴隨初代互聯(lián)網(wǎng)誕生，最初的理念是通過用戶定制化的密碼設(shè)計(jì)，讓使用者本身成為這個安全系統(tǒng)中一道重要防線。

這套系統(tǒng)在之后幾十年里一直行之有效，甚至可以說，正是基于這套口令驗(yàn)證系統(tǒng)，互聯(lián)網(wǎng)才得以有了用戶登錄的入口，才得以繁榮發(fā)展。

理論上，密碼對于抵御常見的黑客破譯仍然行之有效。當(dāng)你設(shè)置了一個非常復(fù)雜的密碼，即使黑客用的破譯設(shè)備是超級計(jì)算機(jī)，也要花很長時間才能破解。

但進(jìn)入21世紀(jì)，移動互聯(lián)網(wǎng)時代高速發(fā)展，大多數(shù)人會擁有數(shù)百個需要設(shè)置密碼的互聯(lián)網(wǎng)賬戶，在多個平臺使用相同的密碼幾乎變成無法避免的事。更讓人害怕的是，存放這些賬戶信息的數(shù)據(jù)庫也有泄露風(fēng)險。

對信息已被泄露的用戶來說，更致命的是，暴露一個平臺的賬號密碼等信息，等同于暴露多個平臺的信息，因?yàn)楹芏嘤脩粼诓煌脚_上使用的是同一密碼。

如今規(guī)模龐大的黑客組織，通常會用各種渠道收集已經(jīng)泄露的數(shù)據(jù)庫，并通過整合，描繪出一個人在互聯(lián)網(wǎng)中的各種足跡，然后歸檔到一起，搭建“社工庫”?？赡芫驮谶@個過程中，他們大致推斷出了你在其他平臺的密碼。

還有成本更低的騙局。不法分子會利用現(xiàn)有的泄露信息，通過網(wǎng)絡(luò)釣魚，直接向真人騙取更多信息，最常見的是山寨登錄網(wǎng)站以及詐騙電話。即使你設(shè)置了超高強(qiáng)度密碼，但在幾乎1∶1復(fù)刻官方登錄頁面的詐騙網(wǎng)站面前，也很容易掉坑里。

由此可見，現(xiàn)行的這套口令機(jī)制，很多時候反而成了信息泄露的幫兇。

現(xiàn)有的密碼系統(tǒng)問題頻發(fā)，卻不得不繼續(xù)驅(qū)動著整個互聯(lián)網(wǎng)航行。但業(yè)內(nèi)也開始意識到這些歷史遺留問題，他們打算直接另起爐灶，打造一套可以完全取代密碼的驗(yàn)證機(jī)制。

“無密碼”的關(guān)鍵

蘋果公司在今年的蘋果全球開發(fā)者大會上，介紹了一個無須用戶手打煩瑣密碼的新功能——“通行密鑰”。有了它，用戶不用再輸入密碼，直接使用面部識別或者指紋識別等方式，授權(quán)使用“通行密鑰”，這時候用戶在本地就生成了一個私鑰。與此同時，平臺服務(wù)器端也保留著一個用于驗(yàn)證的公鑰，一旦這兩者匹配，就能實(shí)現(xiàn)無密碼登錄。用戶在這個過程中，只需要通過生物特征識別。

需要注意的是，無密碼并不是真的沒有密碼。在這種模式下，用戶將手機(jī)等硬件作為主要驗(yàn)證設(shè)備，注冊賬戶時系統(tǒng)會檢測硬件信息并與之綁定。之后，用戶使用指紋、面部識別或設(shè)備密碼鎖等方式解鎖硬件設(shè)備，都將成為默認(rèn)動作，用于之后的賬戶登錄，而無須輸入密碼。

除了提升用戶體驗(yàn)以及保護(hù)個人賬戶信息安全外，這種方法還能讓服務(wù)提供商提供FIDO憑據(jù)，用于賬戶意外丟失后的恢復(fù)。另外，這種方式也被認(rèn)為對殘障人士和老年用戶更為友好。

“消滅密碼”還有多遠(yuǎn)

從用戶體驗(yàn)來看，F(xiàn)IDO 與現(xiàn)在的指紋識別、人臉識別驗(yàn)證登錄并無太大區(qū)別，甚至與主流的密碼自動填寫服務(wù)也相差無幾。最重要的區(qū)別被隱藏在了登錄頁面之下：FIDO 技術(shù)并非由系統(tǒng)生成一個隨機(jī)密碼，而是借助“公鑰+私鑰”的驗(yàn)證方式，在設(shè)備本地生成一個私鑰，同時賬號服務(wù)器端保留公鑰。只有私鑰搭配公鑰進(jìn)行登錄驗(yàn)證時，才能完成。

對于那些用戶無法輕易辨認(rèn)的釣魚網(wǎng)站，已經(jīng)在注冊中使用了FIDO技術(shù)的賬號，檢測到本地的私鑰無法與正確的網(wǎng)頁公鑰匹配，也就不會傳輸任何信息，這樣就從根源上避免了各種高仿登錄頁面的詐騙攻擊，以及數(shù)據(jù)庫泄露帶來的風(fēng)險。

消滅密碼并不簡單。目前我們熟悉的互聯(lián)網(wǎng)生態(tài)，可以說是根植于密碼驗(yàn)證機(jī)制。密碼已經(jīng)成為互聯(lián)網(wǎng)基因中的一部分。所以，也只能循序漸進(jìn)，逐步尋求突破。

“消滅密碼”對大多數(shù)網(wǎng)友來講，最重要的當(dāng)然還是再也不用絞盡腦汁設(shè)置密碼，忘記之后被迫重置了。

（從容摘自《今古傳奇·新傳奇》2022年第32期 圖/槿喑）