没有密码的未来是怎样的
2023-03-13◎宗禾
◎ 宗 禾
现在,你很容易就能找到教程,花一点心思就可以创建一个十分复杂、难以破解的密码。但问题是,你很有可能记不住,然后陷入“忘记密码—重置密码—忘记密码”的循环。
如果互联网干脆不用密码呢?我们是不是就可以不记密码,也不怕数据泄露?
密码这个“老东西”,有不少问题
20世纪60年代,“口令”这一概念伴随初代互联网诞生,最初的理念是通过用户定制化的密码设计,让使用者本身成为这个安全系统中一道重要防线。
这套系统在之后几十年里一直行之有效,甚至可以说,正是基于这套口令验证系统,互联网才得以有了用户登录的入口,才得以繁荣发展。
理论上,密码对于抵御常见的黑客破译仍然行之有效。当你设置了一个非常复杂的密码,即使黑客用的破译设备是超级计算机,也要花很长时间才能破解。
但进入21世纪,移动互联网时代高速发展,大多数人会拥有数百个需要设置密码的互联网账户,在多个平台使用相同的密码几乎变成无法避免的事。更让人害怕的是,存放这些账户信息的数据库也有泄露风险。
对信息已被泄露的用户来说,更致命的是,暴露一个平台的账号密码等信息,等同于暴露多个平台的信息,因为很多用户在不同平台上使用的是同一密码。
如今规模庞大的黑客组织,通常会用各种渠道收集已经泄露的数据库,并通过整合,描绘出一个人在互联网中的各种足迹,然后归档到一起,搭建“社工库”。可能就在这个过程中,他们大致推断出了你在其他平台的密码。
还有成本更低的骗局。不法分子会利用现有的泄露信息,通过网络钓鱼,直接向真人骗取更多信息,最常见的是山寨登录网站以及诈骗电话。即使你设置了超高强度密码,但在几乎1∶1复刻官方登录页面的诈骗网站面前,也很容易掉坑里。
由此可见,现行的这套口令机制,很多时候反而成了信息泄露的帮凶。
现有的密码系统问题频发,却不得不继续驱动着整个互联网航行。但业内也开始意识到这些历史遗留问题,他们打算直接另起炉灶,打造一套可以完全取代密码的验证机制。
“无密码”的关键
苹果公司在今年的苹果全球开发者大会上,介绍了一个无须用户手打烦琐密码的新功能——“通行密钥”。有了它,用户不用再输入密码,直接使用面部识别或者指纹识别等方式,授权使用“通行密钥”,这时候用户在本地就生成了一个私钥。与此同时,平台服务器端也保留着一个用于验证的公钥,一旦这两者匹配,就能实现无密码登录。用户在这个过程中,只需要通过生物特征识别。
需要注意的是,无密码并不是真的没有密码。在这种模式下,用户将手机等硬件作为主要验证设备,注册账户时系统会检测硬件信息并与之绑定。之后,用户使用指纹、面部识别或设备密码锁等方式解锁硬件设备,都将成为默认动作,用于之后的账户登录,而无须输入密码。
除了提升用户体验以及保护个人账户信息安全外,这种方法还能让服务提供商提供FIDO凭据,用于账户意外丢失后的恢复。另外,这种方式也被认为对残障人士和老年用户更为友好。
“消灭密码”还有多远
从用户体验来看,FIDO与现在的指纹识别、人脸识别验证登录并无太大区别,甚至与主流的密码自动填写服务也相差无几。最重要的区别被隐藏在了登录页面之下:FIDO技术并非由系统生成一个随机密码,而是借助“公钥+私钥”的验证方式,在设备本地生成一个私钥,同时账号服务器端保留公钥。只有私钥搭配公钥进行登录验证时,才能完成。
对于那些用户无法轻易辨认的钓鱼网站,已经在注册中使用了FIDO技术的账号,检测到本地的私钥无法与正确的网页公钥匹配,也就不会传输任何信息,这样就从根源上避免了各种高仿登录页面的诈骗攻击,以及数据库泄露带来的风险。
消灭密码并不简单。目前我们熟悉的互联网生态,可以说是根植于密码验证机制。密码已经成为互联网基因中的一部分。所以,也只能循序渐进,逐步寻求突破。
“消灭密码”对大多数网友来讲,最重要的当然还是再也不用绞尽脑汁设置密码,忘记之后被迫重置了。
(从容摘自《今古传奇·新传奇》2022年第32期 图/槿喑)