從微軟到 Google,人人都想消滅密碼

愛範兒 於 11/05/2023 發表 收藏文章
如何不用密碼登錄賬號?Google 給出了它的解決方案,拿起手機、掃碼、成功登錄。不需要輸入密碼,也不需要二次認證。

操作簡單,卻更安全。


跟所有的密碼説拜拜

這個看似與微信掃碼類似的登錄方式,為什麼能讓我們告別密碼?

首先,Google Passkey 與微信掃碼底層原理完全不同,Google Passkey 遵循 W3C 協議,是完全離線、沒有服務器參與的,掃碼只是它的一種登錄方式,在通過了認證的設備/瀏覽器上,你也能使用指紋或者面容 ID 來登錄。

▲ 在認證過的瀏覽器中,可以通過指紋驗證登錄

其次,即使是掃碼,Google Passkey 也有所不同。掃碼解鎖只能通過 USB、NFC 以及藍牙傳輸密碼,也就是説,輸入密碼時你必須在設備附近,否則是無法進行驗證的。

▲ W3C 標準

▲ 登錄時瀏覽器會獲取藍牙權限

簡單總結一下:

  1. Google Passkey 將密碼保存在本地,完全離線,沒有服務器參與,不存在密碼被截獲的可能性;
  2. 跨設備登錄時,必須要與登錄源在同一位置,杜絕了異地誤掃碼的可能性。

Google 表示,大多數人更容易保護好設備而不是保護好密碼,即使你的設備(手機/電腦)丟失了,也可以快速在賬號設置中撤銷授權。

不只是 Google,早在 2021 年,微軟就允許用户刪除微軟賬户的密碼,僅使用指紋、人臉、Windows Hello、安全密鑰、微軟認證程序、短信甚至郵件驗證碼等形式登錄微軟賬户。

陪伴我們進入計算機網絡時代的數字密碼,正在離我們遠去。


從讓密碼更復雜,到讓密碼不存在

輸入賬號和密碼、點擊確認、進入網站,這一司空見慣的互聯網登錄方式,不知不覺中多了幾步:輸入手機驗證碼、輸入二次驗證碼。這都是為了給你的密碼再上一層保險。

為密碼加密碼聽起來有些詭異,但隨着我們使用的網絡服務越來越多,需要記憶的密碼也越來越多,為了降低記憶成本,密碼複用就成了大問題,一旦被盜,就會導致一串個人賬户失去保障。為了保護用户脆弱的重複密碼,驗證碼等形式也是不得已而為之。

數字密碼的發明人 FernandoCorbató 在接受採訪時表示,密碼已經成為「一種噩夢」。

引用不幸的是,隨着萬維網的發展,這已經變成了一場噩夢。我認為沒有人能記住所有已發佈或設置的密碼。這就給人們留下了兩個選擇。你要麼把所有的密碼用小本本記下來,要麼就是選擇某種軟件來管理它們,但不管是哪一種都很麻煩。

▲ 數字密碼發明者 FernandoCorbató

在計算機還沒有被廣泛使用時,FernandoCorbató 就曾預言互聯網及信息安全系統將會遭到攻擊:「真正可怕的是,我們讓電腦變得極其容易使用,所以它將被越來越多地使用。」這一觀點換在密碼上同樣適用,密碼是門檻極低的解決方案,所以它也會被人盯上。

2016 年,雅虎發佈聲明稱其被黑客駭入,導致 30 億用户信息泄漏;2022 年密碼管理巨頭 LastPass 兩度遭遇黑客,雖然 Lastpass 表示沒有任何密碼被盜,但依然為用户敲響了警鐘。


微軟首席信息安全官 Bret Arsenault 表示:不是所有人都討厭密碼,依然會有一小部分人喜歡密碼,他們的名字是罪犯——雖然在 2017 年,微軟還説密碼具有一定的阻攔犯罪能力。

簡單的密碼不安全,複雜的密碼記不住,作為安全認證方式,密碼的缺點確實不少。

為了讓我們「記住」密碼,鑰匙串就是其中一個方法。當你在 iPhone 等設備上準備登錄賬號時,輸入法上方就會出現鑰匙串信息,通過指紋或者面容 ID,就能快速輸入賬號密碼。


但如果你的 iPhone 丟失,撿到的人又恰巧猜對了你的解鎖密碼,那鑰匙串裏的所有密碼都將成為擺設——如果 iPhone 沒有通過生物認證,就會用鎖屏密碼來解鎖鑰匙串。

所以我建議大家不要用 6 位數字密碼來鎖定手機,這是你所有密碼的最後防線。


只要密碼存在,就有被盜的風險。或許是大家終於意識到了這一點,雙重驗證、軟件驗證、本地驗證……保護密碼的終極方案呼之欲出:

要不,我們放棄密碼吧。

後密碼時代,Google 們任重道遠

現在已有的無密碼方案,都​存在一些問題。

比如,知道鎖屏密碼,任何人都可以在你的 Mac 上登錄 Apple ID。

有鎖屏密碼,等同於擁有了鑰匙串中 Apple ID 的密碼,登錄時需要雙重驗證?沒關係,在瀏覽器登錄賬號時,這台 Mac 就是驗證設備。


又比如,微軟的 Authenticator 作為一款雙重驗證 app 非常實用,登錄微軟賬號時,需要點擊手機上與提示相同的數字代碼才可無密碼登錄。

雖然避免了丟失設備時在同一台設備上發生一條龍丟失信息的情況,但被騙後異地登錄的風險依然存在。

▲ 如遇騙局,這時你已經被騙了

Google Passkey 使用授權設備(手機)近距離掃碼才能登錄賬號的解鎖方式,在一定程度上解決了上面這兩個問題,但如果生物「密碼」被盜(當然,可能性很小),後果更加嚴重,畢竟你可以隨意更改數字密碼,但臉、指紋、聲音都是無法改變的,一次被盜,終身憂慮。Google Passkey 使用授權設備(手機)近距離掃碼才能登錄賬號的解鎖方式,在一定程度上解決了上面這兩個問題,但如果生物「密碼」被盜(當然,可能性很小),後果更加嚴重,畢竟你可以隨意更改數字密碼,但臉、指紋、聲音都是無法改變的,一次被盜,終身憂慮。

另一方面,即使廠商們努力讓我們忘記密碼,但用户對「無密碼」這件事並不夠買賬,密碼等於安全的觀念,早已在用户心中根深蒂固。

2012 年 7 月成立的行業協會 FIDO,宗旨就是解決用户面臨大量複雜用户名和密碼的問題,微軟、蘋果、Google、Facebook 等都是協會成員。

其執行董事 Andrew Shikiar 認為用户早就習慣了設置密碼,想要改變用户的行為習慣,減少他們對密碼的依賴是很難的。

因此,FIDO 的工作更多是向普通用户科普無密碼體驗的好處,讓更多人接受無密碼更好的觀念。這有點像戒煙,密碼的方便就像香煙給人的愉悦,但它長期的健康風險應該被越來越多人所瞭解。

FIDO 除了做科普,也會對新的無密碼技術提出建議,讓無密碼系統越來越標準化。

▲ 無密碼和二次驗證圖例

如今,利用指紋、面部、聲音等生物識別的解鎖形式越來越多,設備輔助登錄、驗證的形式也司空見慣。

但即便目前已經有了不少的無密碼登錄方式,密碼還是沒那麼容易消失。老設備的更新、用户觀念的改變、各大廠商的跟進,任重道遠的「無密碼」之路,還需 Google 們繼續努力。


資料來源:愛範兒(ifanr)
標籤: 密碼  

留言


請按此登錄後留言。未成為會員? 立即註冊
    快捷鍵:←
    快捷鍵:→