说起赛博朋克,总会让人们想到霓虹闪烁、雨夜高楼,在高精机械化的大幕布之下,人们却忍受着并不与之匹配的生活质量。这种“高科技,低生活”的荒诞,若要在当代举个例,“密码”或许是不二之选。
回想你所使用过的互联网产品,几乎每一个账号都对应着一条密码。注册时要求密码长度足够,有些是必须含有大小写英文,或是必须带上特殊字符,这些限制很有可能会给用户记忆带来困难。但若设置得十分简单,特别是密码复用,则很难账户保证安全。美国密码管理应用公司Splashdata每年都会公布年度最弱密码榜单,“123456”和“PASSWORD”牢牢占据冠亚军,并且有10% 的人都在使用前25个最弱的密码。
密码对于用户来说不方便,对于平台也带不来什么好处。一般在登录时很轻易就会让用户觉得麻烦,不仅仅是简单的输入错误,甚至个别平台在输入密码后仍然需要多轮的验证方式才允许登录。对于密码的处理也极其繁琐,像Facebook、Twitter等公司明文保存用户密码自然是极其不负责任的,但即使不明文保存,密码也谈不上安全。微软就表示单一的密码机制已经成为了安全系统的软肋,每年仅仅因为这个原因发生的相关攻击就多达180亿次,平均每秒579次。这么看来,平台也陷入了两个极端:若是保证了密码的“安全”,则不会再“方便”,若是保证了“方便”,则不一定“安全”。
既然用户经常忘记密码,输入密码的环节又无比麻烦,黑客针对性地破解密码也并不困难,那我们为什么还需要密码呢?于是微软就说:不需要。
9月15日,微软宣布从现在开始用户可以删除所有密码,这也意味着微软的“无密码时代”正式到来。不过删除密码并不代表取消保护机制,而是将需要记忆密码的方式改为了“即时验证”。用户可以使用微软认证程序Microsoft Authenticator,或是直接在电脑上通过指纹识别、面部识别、Windows Hello、安全密钥或短信/电子邮件验证码登录微软账户。
熟悉微软的用户自然知道,几乎微软的每款产品如果只靠密码登录,其过程有多么繁琐,而这样的繁琐,对于企业等极其注重安全的用户群,有效却又无奈。因此自Microsoft Authenticator诞生以来便背负了“去密码化”的使命。在2018年左右,微软开始在用户注册账号后推荐使用Windows Hello验证身份,取消密码也开始于此,不过只限制于商业用途。而今年则把普通用户也纳入了可选择放弃密码的队列之中。如微软副总裁Vasu Jakkal所言:“由于账号和密码存在盗用,网络攻击也有所增加,作为安全的维护者,微软确实在这个不对称的游戏中还有不少的工作要做。而不再设置密码,你就可以获得高级安全性,并且要使用上会方便得多。”
去掉了密码,用什么方式验证又成了一大问题。目前常见的是生物认证,依靠指纹、声音、面部和瞳孔数据等来验证身份,支付宝的刷脸支付就是一大体现。不过生物特征识别也存在缺陷,一旦某个人的生物信息被破解,其后果会更严重。你可以随意更改你的密码,但你的脸、指纹、声音等,这些都极难改变。常用辅助设备登录和双重验证登录也是常见的验证方式,前者常见于QQ、微信上,而后者苹果、谷歌则经常使用。这些方法将来或许也会取消第一次的验证密码,但它们能否说得上方便,如何做到更方便,则需要进一步的研究了。
不过虽说这些企业为“去密码化”做出了诸多贡献,但到普及依旧有很长的距离。2012年成立的行业协会 FIDO(Fast IDentity Online)的就是为了减少用户在认证时对密码的依赖而成立的,微软、苹果、Google、Facebook等都是协会成员。而FIDO 的执行董事 Andrew Shikiar就认为互联网用户早就习惯了设置密码,想要减少他们对密码的依赖是很难的。除此以外,用户对无密码需求的局限,无密码对设备的要求也是不能尽快普及的重要因素。尽管如此,但我们仍然看到了“无密码时代”的第一炮已经打响,在交互与安全的平衡之下,未来密码的使用范围必将渐渐收窄,不再需要记忆密码的时代终将到来。
关键词:记忆密码将成为过去式,微软说:请丢掉密码