宗禾

现在，你很容易就能找到教程，花一点心思就可以创建一个十分复杂、难以破解的密码。但问题是，你很有可能记不住，然后陷入“忘记密码—重置密码—忘记密码”的循环。

如果互联网干脆不用密码呢？我们是不是就可以不记密码，也不怕数据泄露？

密码这个“老东西”，有不少问题

20世纪60年代，“口令”这一概念伴随初代互联网诞生，最初的理念是通过用户定制化的密码设计，让使用者本身成为这个安全系统中一道重要防线。

这套系统在之后几十年里一直行之有效，甚至可以说，正是基于这套口令验证系统，互联网才得以有了用户登录的入口，才得以繁荣发展。

理论上，密码对于抵御常见的黑客破译仍然行之有效。当你设置了一个非常复杂的密码，即使黑客用的破译设备是超级计算机，也要花很长时间才能破解。

但进入21世纪，移动互联网时代高速发展，大多数人会拥有数百个需要设置密码的互联网账户，在多个平台使用相同的密码几乎变成无法避免的事。更让人害怕的是，存放这些账户信息的数据库也有泄露风险。

对信息已被泄露的用户来说，更致命的是，暴露一个平台的账号密码等信息，等同于暴露多个平台的信息，因为很多用户在不同平台上使用的是同一密码。

如今规模庞大的黑客组织，通常会用各种渠道收集已经泄露的数据库，并通过整合，描绘出一个人在互联网中的各种足迹，然后归档到一起，搭建“社工库”。可能就在这个过程中，他们大致推断出了你在其他平台的密码。

还有成本更低的骗局。不法分子会利用现有的泄露信息，通过网络钓鱼，直接向真人骗取更多信息，最常见的是山寨登录网站以及诈骗电话。即使你设置了超高强度密码，但在几乎1∶1复刻官方登录页面的诈骗网站面前，也很容易掉坑里。

由此可见，现行的这套口令机制，很多时候反而成了信息泄露的帮凶。

现有的密码系统问题频发，却不得不继续驱动着整个互联网航行。但业内也开始意识到这些历史遗留问题，他们打算直接另起炉灶，打造一套可以完全取代密码的验证机制。

“无密码”的关键

苹果公司在今年的苹果全球开发者大会上，介绍了一个无须用户手打烦琐密码的新功能——“通行密钥”。有了它，用户不用再输入密码，直接使用面部识别或者指纹识别等方式，授权使用“通行密钥”，这时候用户在本地就生成了一个私钥。与此同时，平台服务器端也保留着一个用于验证的公钥，一旦这两者匹配，就能实现无密码登录。用户在这个过程中，只需要通过生物特征识别。

需要注意的是，无密码并不是真的没有密码。在这种模式下，用户将手机等硬件作为主要验证设备，注册账户时系统会检测硬件信息并与之绑定。之后，用户使用指纹、面部识别或设备密码锁等方式解锁硬件设备，都将成为默认动作，用于之后的账户登录，而无须输入密码。

除了提升用户体验以及保护个人账户信息安全外，这种方法还能让服务提供商提供FIDO凭据，用于账户意外丢失后的恢复。另外，这种方式也被认为对残障人士和老年用户更为友好。

“消灭密码”还有多远

从用户体验来看，FIDO 与现在的指纹识别、人脸识别验证登录并无太大区别，甚至与主流的密码自动填写服务也相差无几。最重要的区别被隐藏在了登录页面之下：FIDO 技术并非由系统生成一个随机密码，而是借助“公钥+私钥”的验证方式，在设备本地生成一个私钥，同时账号服务器端保留公钥。只有私钥搭配公钥进行登录验证时，才能完成。

对于那些用户无法轻易辨认的釣鱼网站，已经在注册中使用了FIDO技术的账号，检测到本地的私钥无法与正确的网页公钥匹配，也就不会传输任何信息，这样就从根源上避免了各种高仿登录页面的诈骗攻击，以及数据库泄露带来的风险。

消灭密码并不简单。目前我们熟悉的互联网生态，可以说是根植于密码验证机制。密码已经成为互联网基因中的一部分。所以，也只能循序渐进，逐步寻求突破。

“消灭密码”对大多数网友来讲，最重要的当然还是再也不用绞尽脑汁设置密码，忘记之后被迫重置了。

（从容摘自《今古传奇·新传奇》2022年第32期 图/槿喑）