沒有密碼的未來是怎樣的

現有的密碼系統就像是一個早已不堪重負的老式蒸汽輪機，問題頻發，卻不得不繼續驅動著整個互聯網繼續航行。但業內也開始意識到這些歷史遺留問題，打算直接另起爐灶，打造一套可以完全取代密碼的驗證機制。

在一個叫“PasswordMonster”的網站上可以測試人們常用的密碼是否安全。輸入“123456”，網站顯示這個密碼被破解的時間是0 秒。“88888888”則是0.01 秒。

現在，你很容易就能找到類似“如何設置一個無法破解的密碼”的教程，花一點心思就可以創建一個十分復雜、難以被破解的密碼。但問題是，你很有可能記不住，然后陷入“忘記密碼- 重置密碼- 忘記密碼”的循環。

如果互聯網干脆不用密碼呢？我們是不是就可以不記密碼，也不怕數據泄漏？

密碼這個“老東西”，有不少問題

20 世紀60 年代，“口令”這一概念伴隨初代互聯網誕生，最初的理念是通過用戶定制化的密碼設計，讓使用者本身成為這個安全系統中的一道重要防線。

這套系統在之后幾十年里一直行之有效，甚至可以說正是基于這套口令驗證系統，互聯網才得以有了用戶登錄的入口，才得以繁榮發展。

理論上，密碼對于抵御常見的黑客破譯仍然行之有效。當你設置了一個非常復雜的密碼，即使黑客用的破譯設備是超級計算機，也要花很長時間才能破解。

但進入21 世紀，移動互聯網時代高速發展，大多數人會擁有數百個需要設置密碼的互聯網賬戶，在多個平臺使用相同的密碼幾乎變成無法避免的事。更讓人害怕的是，存放這些賬戶信息的數據庫也有泄露風險。

對信息已被泄漏的用戶來說，更致命的是，暴露一個平臺的賬號密碼等信息，等同于暴露多個平臺的信息，因為很多用戶在不同平臺上使用的是同一密碼。

如今規模龐大的黑客組織，通常會用各種渠道得到已經泄漏的數據庫，并通過整合，描繪出一個人在互聯網中的各種足跡，然后歸檔到一起，搭建“社工庫”。你可能就在這個過程中，被大致推斷出你在其他平臺的密碼。

還有成本更低的騙局。不法分子會利用現有的泄漏信息，通過網絡釣魚，直接向真人騙取更多信息。最常見的是山寨登錄網站以及詐騙電話，即使你設置了由各種隨機數字、字母、符號組成的超高強度密碼，但在幾乎1:1 復刻官方登錄頁面的詐騙網站面前，也很容易掉坑里。

由此可見，現行的這套口令機制，很多時候反而成了信息泄漏的幫兇。

現有的密碼系統就像是一個早已不堪重負的老式蒸汽輪機，問題頻發，卻不得不繼續驅動著整個互聯網繼續航行。但業內也開始意識到這些歷史遺留問題，打算直接另起爐灶，打造一套可以完全取代密碼的驗證機制。

“無密碼”的關鍵

蘋果公司在今年的蘋果全球開發者大會上，介紹了一個無需用戶手打繁瑣密碼的新功能——“通行密鑰”。有了它，用戶不用再輸入密碼，直接使用面部識別或者指紋識別授權使用“通行密鑰”，實現無密碼登錄。用戶在這個過程中，只需要通過生物特征識別。

支持以上這種體驗的底層技術，來自一個致力于推動“無密碼”進程的組織——FIDO（線上快速身份驗證） 聯盟。FIDO 制定了相關的技術標準，并向各大互聯網巨頭推廣。

需要注意的是，無密碼并不是真的沒有密碼。在這種模式下，用戶將手機等硬件作為主要驗證設備，注冊賬戶時系統會檢測硬件信息并與之綁定。之后，用戶使用指紋、面部識別或設備密碼鎖等方式解鎖硬件設備，都將成為默認動作，用于之后的賬戶登錄，而無需輸入密碼。

實際上，這種無密碼的操作我們并不陌生。微信平臺的登錄就是一個例子，微信為了做到賬戶的強安全保障，在電腦端的登錄并不需要輸入密碼，而只能使用手機確認身份登錄。

除了提升用戶體驗以及保護個人賬戶信息安全外，這種方法還能讓服務提供商提供憑據，用于賬戶意外丟失后的恢復。另外，這種方式也被認為對殘障人士和老年人用戶更為友好。

“消滅密碼”還有多遠

從用戶體驗來看，FIDO 與現在的指紋識別、人臉識別并無太大區別。最重要的區別被隱藏在了登錄頁面之下：FIDO技術并非是由系統生成一個隨機密碼，而是借助“公鑰+ 私鑰”的驗證方式，在設備本地生成一個私鑰，同時賬號服務器端保留公鑰。

對于那些用戶無法輕易辨認的釣魚網站，已經在注冊中使用了FIDO 技術的賬號，檢測到本地的私鑰無法與正確的網頁公鑰匹配，也就不會傳輸任何信息，這樣就從根源上避免了各種高仿登錄頁面的詐騙攻擊，以及數據庫泄露帶來的風險。

消滅密碼并不簡單。目前我們熟悉的互聯網生態，可以說是根植于密碼驗證機制。密碼已經成為互聯網DNA 中的一部分。所以，FIDO 聯盟即便拉攏了業內巨頭，也只能循序漸進，逐步尋求突破。

消滅密碼對大多數網友來講，最重要的當然還是再也不用絞盡腦汁設置密碼，忘記之后被迫重置了。