沒有密碼的未來是怎樣的

◎ 宗 禾

現在，你很容易就能找到教程，花一點心思就可以創建一個十分復雜、難以破解的密碼。但問題是，你很有可能記不住，然后陷入“忘記密碼—重置密碼—忘記密碼”的循環。

如果互聯網干脆不用密碼呢？我們是不是就可以不記密碼，也不怕數據泄露？

密碼這個“老東西”，有不少問題

20世紀60年代，“口令”這一概念伴隨初代互聯網誕生，最初的理念是通過用戶定制化的密碼設計，讓使用者本身成為這個安全系統中一道重要防線。

這套系統在之后幾十年里一直行之有效，甚至可以說，正是基于這套口令驗證系統，互聯網才得以有了用戶登錄的入口，才得以繁榮發展。

理論上，密碼對于抵御常見的黑客破譯仍然行之有效。當你設置了一個非常復雜的密碼，即使黑客用的破譯設備是超級計算機，也要花很長時間才能破解。

但進入21世紀，移動互聯網時代高速發展，大多數人會擁有數百個需要設置密碼的互聯網賬戶，在多個平臺使用相同的密碼幾乎變成無法避免的事。更讓人害怕的是，存放這些賬戶信息的數據庫也有泄露風險。

對信息已被泄露的用戶來說，更致命的是，暴露一個平臺的賬號密碼等信息，等同于暴露多個平臺的信息，因為很多用戶在不同平臺上使用的是同一密碼。

如今規模龐大的黑客組織，通常會用各種渠道收集已經泄露的數據庫，并通過整合，描繪出一個人在互聯網中的各種足跡，然后歸檔到一起，搭建“社工庫”。可能就在這個過程中，他們大致推斷出了你在其他平臺的密碼。

還有成本更低的騙局。不法分子會利用現有的泄露信息，通過網絡釣魚，直接向真人騙取更多信息，最常見的是山寨登錄網站以及詐騙電話。即使你設置了超高強度密碼，但在幾乎1∶1復刻官方登錄頁面的詐騙網站面前，也很容易掉坑里。

由此可見，現行的這套口令機制，很多時候反而成了信息泄露的幫兇。

現有的密碼系統問題頻發，卻不得不繼續驅動著整個互聯網航行。但業內也開始意識到這些歷史遺留問題，他們打算直接另起爐灶，打造一套可以完全取代密碼的驗證機制。

“無密碼”的關鍵

蘋果公司在今年的蘋果全球開發者大會上，介紹了一個無須用戶手打煩瑣密碼的新功能——“通行密鑰”。有了它，用戶不用再輸入密碼，直接使用面部識別或者指紋識別等方式，授權使用“通行密鑰”，這時候用戶在本地就生成了一個私鑰。與此同時，平臺服務器端也保留著一個用于驗證的公鑰，一旦這兩者匹配，就能實現無密碼登錄。用戶在這個過程中，只需要通過生物特征識別。

需要注意的是，無密碼并不是真的沒有密碼。在這種模式下，用戶將手機等硬件作為主要驗證設備，注冊賬戶時系統會檢測硬件信息并與之綁定。之后，用戶使用指紋、面部識別或設備密碼鎖等方式解鎖硬件設備，都將成為默認動作，用于之后的賬戶登錄，而無須輸入密碼。

除了提升用戶體驗以及保護個人賬戶信息安全外，這種方法還能讓服務提供商提供FIDO憑據，用于賬戶意外丟失后的恢復。另外，這種方式也被認為對殘障人士和老年用戶更為友好。

“消滅密碼”還有多遠

從用戶體驗來看，FIDO與現在的指紋識別、人臉識別驗證登錄并無太大區別，甚至與主流的密碼自動填寫服務也相差無幾。最重要的區別被隱藏在了登錄頁面之下：FIDO技術并非由系統生成一個隨機密碼，而是借助“公鑰+私鑰”的驗證方式，在設備本地生成一個私鑰，同時賬號服務器端保留公鑰。只有私鑰搭配公鑰進行登錄驗證時，才能完成。

對于那些用戶無法輕易辨認的釣魚網站，已經在注冊中使用了FIDO技術的賬號，檢測到本地的私鑰無法與正確的網頁公鑰匹配，也就不會傳輸任何信息，這樣就從根源上避免了各種高仿登錄頁面的詐騙攻擊，以及數據庫泄露帶來的風險。

消滅密碼并不簡單。目前我們熟悉的互聯網生態，可以說是根植于密碼驗證機制。密碼已經成為互聯網基因中的一部分。所以，也只能循序漸進，逐步尋求突破。

“消滅密碼”對大多數網友來講，最重要的當然還是再也不用絞盡腦汁設置密碼，忘記之后被迫重置了。

（從容摘自《今古傳奇·新傳奇》2022年第32期 圖/槿喑）