文·圖/沈臻懿

傳統(tǒng)密碼驗(yàn)證技術(shù)的弊端

“互聯(lián)網(wǎng)+”時(shí)代，用戶身份驗(yàn)證是一種極為普遍的應(yīng)用場(chǎng)景。無(wú)論是網(wǎng)站登錄、App注冊(cè)，抑或網(wǎng)銀操作等，幾乎都依賴于賬號(hào)密碼的驗(yàn)證。但對(duì)于用戶體驗(yàn)而言，密碼管理無(wú)疑讓人有些“抓狂”。面對(duì)各種平臺(tái)、賬戶的密碼要求——有的須加入特殊符號(hào)，有的須同時(shí)有數(shù)字、字母和符號(hào)存在，有的要求區(qū)分大小寫，有的還不允許連續(xù)數(shù)字存在……用戶往往會(huì)因密碼過(guò)多且難以記憶而倍感苦惱！倘若為了好記，設(shè)置的密碼過(guò)于單一、簡(jiǎn)單，則可能因其防御能力弱而導(dǎo)致陷入“撞庫(kù)”“釣魚”“暴力破解”等網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)。

基于移動(dòng)生物識(shí)別等技術(shù)對(duì)登錄者予以強(qiáng)身份信息驗(yàn)證，可確認(rèn)正在使用該賬號(hào)的登錄者即為用戶本人

當(dāng)前主要的幾類密碼驗(yàn)證方式中，最為常見的就是作為靜態(tài)方式的傳統(tǒng)賬號(hào)密碼驗(yàn)證。由于此類密碼均可自行進(jìn)行設(shè)定，用戶通常會(huì)選擇方便記憶的密碼，如采用出生年月、電話號(hào)碼等。但這一模式下的密碼安全性較低，非常容易被不法分子暴力破解。有的用戶為了使用方便，往往會(huì)在多個(gè)網(wǎng)站、平臺(tái)之間，使用同一套密碼。這一方式看似便于記憶，一旦被不法分子竊取，即可用于“撞庫(kù)”（黑客通過(guò)收集互聯(lián)網(wǎng)已泄露的用戶和密碼信息，生成對(duì)應(yīng)的字典表，嘗試批量登錄其他網(wǎng)站后，得到一系列可以登錄的用戶）。

除靜態(tài)密碼外，諸如驗(yàn)證碼、動(dòng)態(tài)口令等皆屬于動(dòng)態(tài)密碼驗(yàn)證方式。就驗(yàn)證碼來(lái)說(shuō)，若用戶手機(jī)被惡意應(yīng)用軟件操控而獲取權(quán)限或短信后，即可在用戶不知情的狀況下讀取動(dòng)態(tài)驗(yàn)證碼，進(jìn)而導(dǎo)致用戶身份被盜用。由于不同機(jī)構(gòu)之間都有著自身專屬的一套動(dòng)態(tài)口令設(shè)備，機(jī)構(gòu)與機(jī)構(gòu)之間的工具并不通用，這就令用戶往往需要同時(shí)攜帶多個(gè)口令設(shè)備，給使用帶來(lái)不便。

威瑞森通信公司（Verizon）發(fā)布的《2022年數(shù)據(jù)泄露調(diào)查報(bào)告》（DBIR）顯示，當(dāng)前82%的數(shù)據(jù)泄露都與人為失誤或網(wǎng)絡(luò)釣魚、被盜憑證等有關(guān)。作為登錄憑證的密碼已然成為絕大部分?jǐn)?shù)據(jù)安全事件的“導(dǎo)火索”。究其根源，密碼驗(yàn)證本質(zhì)上是不安全的。解決問題的關(guān)鍵，還是要通過(guò)使用更為安全且便捷的替代技術(shù)以實(shí)現(xiàn)去密碼化。

何為無(wú)密碼身份驗(yàn)證技術(shù)

無(wú)密碼身份驗(yàn)證（Password-less Authentication），即：無(wú)須密碼亦能對(duì)用戶身份進(jìn)行證明。需要注意的是，“無(wú)密碼”與“沒有密碼”之間并不能畫上等號(hào)?！盁o(wú)密碼”強(qiáng)調(diào)的是用戶不再使用密碼方式來(lái)登錄網(wǎng)站、App或電子設(shè)備，而是換用安全系數(shù)遠(yuǎn)高于密碼驗(yàn)證的操作方式進(jìn)行登錄。理想狀態(tài)下，無(wú)密碼身份驗(yàn)證技術(shù)能利用全新的身份驗(yàn)證方式，來(lái)全面替代現(xiàn)有的密碼驗(yàn)證模式。

人工智能時(shí)代，用戶自身即是密鑰。這種無(wú)密碼身份驗(yàn)證技術(shù)可以看成是一種點(diǎn)對(duì)點(diǎn)的認(rèn)證。用戶設(shè)備發(fā)起身份驗(yàn)證的請(qǐng)求，App等平臺(tái)、程序收到請(qǐng)求后，用戶設(shè)備支持多種方式的身份驗(yàn)證并核驗(yàn)通過(guò)。基于移動(dòng)生物識(shí)別等技術(shù)對(duì)登錄者予以強(qiáng)身份信息驗(yàn)證，以確認(rèn)正在使用該賬號(hào)的登錄者即為用戶本人，從而規(guī)避傳統(tǒng)密碼所存在的安全隱患。相較于傳統(tǒng)密碼身份驗(yàn)證而言，無(wú)密碼身份驗(yàn)證技術(shù)“自身即密鑰”的特點(diǎn)，不僅管理成本低廉，且不會(huì)出現(xiàn)遺失或遺忘的狀況。同時(shí)，不可復(fù)制的自身密鑰信息，也使得造假難度大幅提升，密碼管理中的安全性能尤為凸顯。

多重保護(hù)的驗(yàn)證技術(shù)，進(jìn)一步壓縮了不法之徒的違法犯罪空間

無(wú)密碼身份驗(yàn)證技術(shù)不僅管理成本低廉，且不會(huì)出現(xiàn)遺失或遺忘的狀況

人工智能時(shí)代，用戶自身即密鑰，這種無(wú)密碼身份驗(yàn)證技術(shù)可以看成是一種點(diǎn)對(duì)點(diǎn)的認(rèn)證

正因這一技術(shù)的普及，使得用戶不再需要記憶冗長(zhǎng)、復(fù)雜的密碼來(lái)驗(yàn)證身份；通過(guò)身體的生物特征要素，或通過(guò)身份驗(yàn)證器發(fā)送到自身設(shè)備或應(yīng)用程序上的魔術(shù)鏈接（Magic links）、一次性訪問密碼等占有要素進(jìn)行驗(yàn)證便可順利登錄系統(tǒng)。由于沒有密碼可供竊取或者破解，不法分子也很難再利用密碼來(lái)獲取其想要的網(wǎng)絡(luò)數(shù)據(jù)。原先因密碼泄露而導(dǎo)致的網(wǎng)絡(luò)安全事件等問題，同樣會(huì)因密碼的消失而不復(fù)存在。

此后，無(wú)密碼身份驗(yàn)證技術(shù)中，有一種名為多因素身份驗(yàn)證（Multi-factor Authentication，MFA）的數(shù)字身份認(rèn)證系統(tǒng)受到了大家的關(guān)注。其利用了用戶的相應(yīng)特征及要素，通過(guò)多個(gè)身份認(rèn)證的查驗(yàn)點(diǎn)來(lái)實(shí)現(xiàn)安全保護(hù)。簡(jiǎn)單來(lái)說(shuō)，我們可以將其視為一道同時(shí)帶有鎖具、虹膜掃描以及一次性訪問密碼的“防盜門”。如果單單只有鎖具，其就如同傳統(tǒng)密碼一般容易被“撬”。而對(duì)于虹膜掃描的信息復(fù)制以及一次性訪問密碼的攔截和破解，其難度就大得多。這種多重保護(hù)的驗(yàn)證技術(shù)，也進(jìn)一步壓縮了不法之徒的違法犯罪空間。

技術(shù)迭代中的物聯(lián)網(wǎng)應(yīng)用場(chǎng)景

無(wú)密碼身份驗(yàn)證技術(shù)的發(fā)展，為企業(yè)、用戶等帶來(lái)了更高級(jí)別的安全體驗(yàn)，其自身也一直處于發(fā)展變化中，從最初的1∶1認(rèn)證，逐漸發(fā)展至1∶N認(rèn)證，并隨之進(jìn)入數(shù)字—物理身份的無(wú)縫銜接時(shí)代。

無(wú)密碼身份驗(yàn)證技術(shù)所需的特征信息采集，隨著三維重建、AI技術(shù)、圖像增強(qiáng)等手段的介入，已從最初接觸式的采集識(shí)別方式，轉(zhuǎn)型為了非接觸模式。用戶只需在設(shè)備前伸出自己的手，即可完成包括單指、全指、掌紋、指靜脈、掌靜脈等在內(nèi)的多種特征信息的秒級(jí)采集和毫秒級(jí)的準(zhǔn)確識(shí)別。

此外，隱私信息保護(hù)也是無(wú)密碼身份驗(yàn)證技術(shù)發(fā)展過(guò)程中的一大被關(guān)注的問題。當(dāng)前，主流的信息應(yīng)用都是在平臺(tái)上保留原始信息或保存模板。這一方式對(duì)于隱私保護(hù)而言并不友好。為此，就需要將信息識(shí)別與密碼學(xué)工具予以深度融合，從而實(shí)現(xiàn)不可逆、可撤銷、非關(guān)聯(lián)的強(qiáng)隱私安全性能。

當(dāng)前，新一代的無(wú)密碼身份驗(yàn)證技術(shù)已較為成熟，可在十?dāng)?shù)億的庫(kù)容下實(shí)現(xiàn)高精度、高性能的信息識(shí)別。為了更好地實(shí)現(xiàn)該技術(shù)的場(chǎng)景應(yīng)用，在物聯(lián)網(wǎng)的加持下，將數(shù)字世界和物理世界的身份予以鏈接，便可提供更為安全、便捷的身份驗(yàn)證服務(wù)。