在電影《網絡迷蹤》中,你可以看到線上世界的互聯互通和密碼保護系統的脆弱。
女兒失蹤,父親尋找。通過對女兒的瞭解猜中第一個應用密碼解鎖服務成為了尋人大戰的第一步,之後通過不同的密碼找回、驗證碼驗證,父親輕易就進入了女兒所在的網絡世界。
▲ 在進入一個賬户的情況下,其他賬户也能接連被找回密碼. 圖片來自:《網絡迷蹤》
在這過程中,密碼好像沒發揮什麼阻隔作用。畢竟在用户自己也常忘記密碼的線上世界,服務提供商總是能給你提供了一個又一個密碼找回的選項,讓你能順利使用它們的產品。
既然用户自己記不住密碼,破解密碼也並不難,為什麼我們還需要密碼的存在呢?微軟説不,我們不需要密碼——密碼,拜拜了您嘞!
「微人希」對密碼説拜拜
對幹掉密碼這件事,微軟蓄謀已久。
2015 年,微軟就在手提電腦中引入了面部解鎖的技術。它還特意構建了一款應用——微軟驗證器(Microsoft Authenticator),讓用户可以下載到手機中以不斷變化的代碼作為新密碼。
▲ 微軟驗證器
而在 2018 年,微軟 Win10 S 的操作系統會在用户不更改默認設置的情況下去除密碼。如果用户遵循系統推薦進行設置,那他們就不會看到設置密碼的選項。
終於,微軟在 2021 年覺得是時候了,「無密碼時代」也應該到來了。所以從 9 月 15 日開始,微軟允許用户刪除微軟賬户的密碼,使用微軟認證程序、指紋識別、面部識別、Windows Hello、安全密鑰或短信/電子郵件驗證碼登錄微軟賬户。
這意味着即便你不設置任何密碼,依然可以登錄微軟賬户,再也不需要把密碼寫在筆記本上了。
▲ 微軟要讓密碼儘可能消失
從引入新的登錄方式開始,再慢慢引導用户使用非密碼方式登錄,最後直接進入無密碼時代。一步步地推進,終於幹掉了密碼。這一次連非微軟的粉絲也叫起了「微人希」——微軟,人類的希望。
這一切都是因為密碼實在太「討人厭」了。
微軟公司副總裁 Vasu Jakkal 就表示「由於賬號和密碼被盜,網絡攻擊的數量增加了——作為防禦者,我們在這個不對稱的遊戲中還有很多工作要做。沒有密碼,你就得到了高級的安全保障,而且你的登錄方式簡單得多。」
▲ 微軟會提供多樣的登錄方式
在 2017 年 12 月的官方博客中,微軟還會把密碼稱為「早期計算機時期的老古董」,還承認它具備一定的阻攔犯罪能力。但在宣佈進入「無密碼時代」後,微軟首席信息安全官 Bret Arsenault 直接表示:
▲ 黑客喜歡密碼. 圖片來自:Fortune
密碼怎麼成了眾矢之的?
等會,密碼真的有那麼糟嗎?我們早就習慣了密碼登錄的方式,還用了它很多年了,怎麼它突然就變成大公司想要消除的「罪犯利器」了呢?
事實上,密碼一開始確實很美好、很有用,它是人們使用互聯網服務時能接觸到的簡單又直接的解決方案。但那是你需要記住的密碼還不多的年代。隨着你使用的線上服務越來越多,你需要記住的密碼也越來越多,複用、遺忘,被盜之後導致一連串賬户的丟失讓密碼陷入了尷尬境地。
對於這種情況,數字密碼的發明人 FernandoCorbató 也認為密碼的形式存在着很大的問題。多年前在接受華爾街日報採訪時, 87 歲的 FernandoCorbató 就表示密碼已經成為「一種噩夢」。
▲ 數字密碼的發明者 FernandoCorbató
在計算機還沒有被廣泛使用時,FernandoCorbató 就曾預言互聯網及信息安全系統將會遭到攻擊:「真正可怕的是,我們讓電腦變得極其容易使用,所以它將被越來越多地使用。」而他的這個觀點換在密碼上同樣適用,密碼是門檻極低的解決方案,所以它也會被人盯上。
Facebook 前些年的麻煩纏身其實就和密碼有不小的關係。當時安全專家 KrebsOnSecurity 揭露了 Facebook 使用明文純文本的形式,在內部平台存儲了數以億計的用户密碼。而且這些賬號密碼還可以被超過兩萬名 Facebook 員工搜索到。
互聯網公司的第一課應該是不要用明文存儲用户的隱私信息,可惜這堂課很多學生都沒學好,Facebook、Twitter 在這個事情上都是「壞學生」。但就算互聯網公司沒有明文存儲你的密碼,你的密碼也並不安全。
▲ Facebook 密碼登陸界面
皮魯安全之家曾經介紹過惡意軟件驅動能夠從全網範圍內的用户 Web 瀏覽器及基於 Web 的登錄表單中竊取賬號密碼。只需要幾美金或等值的虛擬貨幣,「黑市買家」就能夠買到這些日誌的訪問權。更進一步,犯罪分子只要花更多的錢就可以直接購買指定賬號的憑證信息。
更糟的是很多人密碼是複用的,一個密碼的丟失可能會讓多個賬户同時陷入危險的境地。
將密碼設置的複雜一點能夠防止密碼被盜嗎?對於想要強行破解你密碼的黑客來説,複雜的密碼的確讓他們更難操作。但遺憾的是,或許是為了幫助自己記憶,或許是對自己設置的密碼已經有了感情,很多人的密碼設置都非常簡單——像紙糊的一樣,一捅就破。
▲ 你的密碼是 123456 嗎?
美國密碼管理應用公司 Splashdata 每年發佈最弱密碼榜單已經成了他們的保留項目。每次榜單發出,你就會發現過去一年人們依舊在犯蠢。
從 2013 年開始,鐵打的「123456」和「password」就牢牢佔據了最弱密碼榜的前兩位,有傳言説烏克蘭武裝部隊的「第聶伯羅」軍隊自動化控制系統的服務器密碼也是「123456」。
連軍用密碼都如此簡單,何況其他?Splashdata 表示,前 25 個最弱密碼中,有 10% 的人都在使用它們。這意味着你去街上找十個人,這 25 個最弱密碼幾乎都能登錄某一個人的賬户。
▲「2018 年度最弱密碼」榜單 TOP 25
有的人為了避免這種容易被盜的簡單密碼,往往會把密碼設計的極為複雜(有的會選用系統的複雜密碼推薦),甚至每個服務密碼都不同。但沒什麼用,因為自己要是忘了也只能找回,最終還得靠郵箱短信驗證碼。
簡單的不安全,複雜的記不住,不管簡單還是複雜都有可能被盜……這樣一看,密碼的缺點可不少。
沒了密碼,我們怎麼登錄
想要消滅密碼的公司也不少。但所有有這個想法的公司都需要回答一個問題,沒了密碼應該怎麼讓用户登錄呢?
▲ 無密碼登錄
2012 年 7 月成立的行業協會 FIDO 的宗旨就是解決強制認證設備的交互性和用户面臨大量複雜的用户名和密碼的問題,微軟、蘋果、Google、Facebook 都是協會成員。FIDO 的執行董事 Andrew Shikiar 認為用户早就習慣了設置密碼,想要改變用户的行為習慣,減少他們對密碼的依賴是很難的。
因此 FIDO 的工作更多是向普通用户科普無密碼體驗的好處,讓更多人接受無密碼更好的觀念。這有點像戒煙,密碼的方便就像香煙給人的愉悦,但它長期的健康風險應該被越來越多人所瞭解。FIDO 除了做科普,也會對新的無密碼技術提出建議,讓無密碼系統越來越標準化。
▲ 無密碼和二次驗證圖例
指紋、面部、聲音……這種生物識別方式也是理想的身份驗證「密碼」,因為它們基本能夠證明服務是你本人在使用。
指紋登錄可能是用户最熟悉的生物識別方式,而面部驗證、聲音驗證也越來越常見於支付環節和登錄環節。據 This is Money 報道,巴克萊銀行、匯豐銀行、哈利法克斯銀行等多家英國銀行目前都支持聲紋識別,在英國有 300 多萬銀行客户使用聲紋識別系統來登陸他們的銀行賬户。而我們熟悉的微信也有聲音鎖登錄的選項,不過對聲音環境的要求更高。
再加上部分保密機構的瞳孔驗證,亞馬遜開始試行的刷臉支付,支持生物識別的場景也在增多。
▲圖片來自:This is Money
只是這種生物「密碼」一旦被盜後果更嚴重。畢竟你可以隨意更改你的數字密碼,但你的臉、指紋、聲音,這些都是無法改變的。一次被盜,終身憂慮。
使用常用設備輔助登錄、驗證也是常見的做法。越來越多的服務想要你用手機掃碼登錄,除了 提升手機應用活躍度外,可能還有一層安全的考慮。像 QQ、微信這樣的社交應用還增加了一個輔助驗證的環節,很大程度上也能保證賬户安全性。
雙重驗證也是很好保護賬户安全的做法。蘋果雙重認證就能為 Apple ID 提供多一層的額外安全保護,這個額外的認證方式讓其他人知道密碼也無法訪問你的賬户,因為它還會在你的常用設備上顯示一個六位數的驗證碼。
▲ 蘋果設備的二次驗證
Authenticator app 則是不管什麼設備都能夠使用的雙重驗證應用,二次驗證提供了更強的安全保障。就拿我們自己舉個例子,愛範兒沒用上 Google 身份驗證器之前,還會有作者賬户被盜,連續盜發多篇文章。但在用上了 Authenticator 之後,這種情況就沒出現過了。
但即便目前已經有了不少的無密碼登錄方式,密碼還是沒那麼容易消失。因為不少無密碼方案只能在較新的設備上使用,很多無密碼登錄系統還會要求用户有兩台以上的智能設備輔助驗證。在用户智能設備持有情況和觀念都有較大差別的今天,想進入「無密碼時代」任重道遠。
但不管怎樣,微軟已經打響了第一槍,這是「無密碼時代」即將來臨的標誌性事件。
題圖來自《網絡迷蹤》
資料來源:愛範兒(ifanr)
女兒失蹤,父親尋找。通過對女兒的瞭解猜中第一個應用密碼解鎖服務成為了尋人大戰的第一步,之後通過不同的密碼找回、驗證碼驗證,父親輕易就進入了女兒所在的網絡世界。
▲ 在進入一個賬户的情況下,其他賬户也能接連被找回密碼. 圖片來自:《網絡迷蹤》
在這過程中,密碼好像沒發揮什麼阻隔作用。畢竟在用户自己也常忘記密碼的線上世界,服務提供商總是能給你提供了一個又一個密碼找回的選項,讓你能順利使用它們的產品。
既然用户自己記不住密碼,破解密碼也並不難,為什麼我們還需要密碼的存在呢?微軟説不,我們不需要密碼——密碼,拜拜了您嘞!
「微人希」對密碼説拜拜
對幹掉密碼這件事,微軟蓄謀已久。
2015 年,微軟就在手提電腦中引入了面部解鎖的技術。它還特意構建了一款應用——微軟驗證器(Microsoft Authenticator),讓用户可以下載到手機中以不斷變化的代碼作為新密碼。
▲ 微軟驗證器
而在 2018 年,微軟 Win10 S 的操作系統會在用户不更改默認設置的情況下去除密碼。如果用户遵循系統推薦進行設置,那他們就不會看到設置密碼的選項。
終於,微軟在 2021 年覺得是時候了,「無密碼時代」也應該到來了。所以從 9 月 15 日開始,微軟允許用户刪除微軟賬户的密碼,使用微軟認證程序、指紋識別、面部識別、Windows Hello、安全密鑰或短信/電子郵件驗證碼登錄微軟賬户。
這意味着即便你不設置任何密碼,依然可以登錄微軟賬户,再也不需要把密碼寫在筆記本上了。
▲ 微軟要讓密碼儘可能消失
從引入新的登錄方式開始,再慢慢引導用户使用非密碼方式登錄,最後直接進入無密碼時代。一步步地推進,終於幹掉了密碼。這一次連非微軟的粉絲也叫起了「微人希」——微軟,人類的希望。
這一切都是因為密碼實在太「討人厭」了。
微軟公司副總裁 Vasu Jakkal 就表示「由於賬號和密碼被盜,網絡攻擊的數量增加了——作為防禦者,我們在這個不對稱的遊戲中還有很多工作要做。沒有密碼,你就得到了高級的安全保障,而且你的登錄方式簡單得多。」
▲ 微軟會提供多樣的登錄方式
在 2017 年 12 月的官方博客中,微軟還會把密碼稱為「早期計算機時期的老古董」,還承認它具備一定的阻攔犯罪能力。但在宣佈進入「無密碼時代」後,微軟首席信息安全官 Bret Arsenault 直接表示:
引用不是所有人都討厭密碼,依然會有一小部分人喜歡密碼,他們的名字是罪犯。
▲ 黑客喜歡密碼. 圖片來自:Fortune
密碼怎麼成了眾矢之的?
等會,密碼真的有那麼糟嗎?我們早就習慣了密碼登錄的方式,還用了它很多年了,怎麼它突然就變成大公司想要消除的「罪犯利器」了呢?
事實上,密碼一開始確實很美好、很有用,它是人們使用互聯網服務時能接觸到的簡單又直接的解決方案。但那是你需要記住的密碼還不多的年代。隨着你使用的線上服務越來越多,你需要記住的密碼也越來越多,複用、遺忘,被盜之後導致一連串賬户的丟失讓密碼陷入了尷尬境地。
對於這種情況,數字密碼的發明人 FernandoCorbató 也認為密碼的形式存在着很大的問題。多年前在接受華爾街日報採訪時, 87 歲的 FernandoCorbató 就表示密碼已經成為「一種噩夢」。
引用不幸的是,隨着萬維網的發展,這已經變成了一場噩夢。我認為沒有人能記住所有已發佈或設置的密碼。這就給人們留下了兩個選擇。你要麼把所有的密碼用小本本記下來,要麼就是選擇某種軟件來管理它們,但不管是哪一種都很麻煩。
▲ 數字密碼的發明者 FernandoCorbató
在計算機還沒有被廣泛使用時,FernandoCorbató 就曾預言互聯網及信息安全系統將會遭到攻擊:「真正可怕的是,我們讓電腦變得極其容易使用,所以它將被越來越多地使用。」而他的這個觀點換在密碼上同樣適用,密碼是門檻極低的解決方案,所以它也會被人盯上。
Facebook 前些年的麻煩纏身其實就和密碼有不小的關係。當時安全專家 KrebsOnSecurity 揭露了 Facebook 使用明文純文本的形式,在內部平台存儲了數以億計的用户密碼。而且這些賬號密碼還可以被超過兩萬名 Facebook 員工搜索到。
互聯網公司的第一課應該是不要用明文存儲用户的隱私信息,可惜這堂課很多學生都沒學好,Facebook、Twitter 在這個事情上都是「壞學生」。但就算互聯網公司沒有明文存儲你的密碼,你的密碼也並不安全。
▲ Facebook 密碼登陸界面
皮魯安全之家曾經介紹過惡意軟件驅動能夠從全網範圍內的用户 Web 瀏覽器及基於 Web 的登錄表單中竊取賬號密碼。只需要幾美金或等值的虛擬貨幣,「黑市買家」就能夠買到這些日誌的訪問權。更進一步,犯罪分子只要花更多的錢就可以直接購買指定賬號的憑證信息。
更糟的是很多人密碼是複用的,一個密碼的丟失可能會讓多個賬户同時陷入危險的境地。
將密碼設置的複雜一點能夠防止密碼被盜嗎?對於想要強行破解你密碼的黑客來説,複雜的密碼的確讓他們更難操作。但遺憾的是,或許是為了幫助自己記憶,或許是對自己設置的密碼已經有了感情,很多人的密碼設置都非常簡單——像紙糊的一樣,一捅就破。
▲ 你的密碼是 123456 嗎?
美國密碼管理應用公司 Splashdata 每年發佈最弱密碼榜單已經成了他們的保留項目。每次榜單發出,你就會發現過去一年人們依舊在犯蠢。
從 2013 年開始,鐵打的「123456」和「password」就牢牢佔據了最弱密碼榜的前兩位,有傳言説烏克蘭武裝部隊的「第聶伯羅」軍隊自動化控制系統的服務器密碼也是「123456」。
連軍用密碼都如此簡單,何況其他?Splashdata 表示,前 25 個最弱密碼中,有 10% 的人都在使用它們。這意味着你去街上找十個人,這 25 個最弱密碼幾乎都能登錄某一個人的賬户。
▲「2018 年度最弱密碼」榜單 TOP 25
有的人為了避免這種容易被盜的簡單密碼,往往會把密碼設計的極為複雜(有的會選用系統的複雜密碼推薦),甚至每個服務密碼都不同。但沒什麼用,因為自己要是忘了也只能找回,最終還得靠郵箱短信驗證碼。
簡單的不安全,複雜的記不住,不管簡單還是複雜都有可能被盜……這樣一看,密碼的缺點可不少。
沒了密碼,我們怎麼登錄
想要消滅密碼的公司也不少。但所有有這個想法的公司都需要回答一個問題,沒了密碼應該怎麼讓用户登錄呢?
▲ 無密碼登錄
2012 年 7 月成立的行業協會 FIDO 的宗旨就是解決強制認證設備的交互性和用户面臨大量複雜的用户名和密碼的問題,微軟、蘋果、Google、Facebook 都是協會成員。FIDO 的執行董事 Andrew Shikiar 認為用户早就習慣了設置密碼,想要改變用户的行為習慣,減少他們對密碼的依賴是很難的。
因此 FIDO 的工作更多是向普通用户科普無密碼體驗的好處,讓更多人接受無密碼更好的觀念。這有點像戒煙,密碼的方便就像香煙給人的愉悦,但它長期的健康風險應該被越來越多人所瞭解。FIDO 除了做科普,也會對新的無密碼技術提出建議,讓無密碼系統越來越標準化。
▲ 無密碼和二次驗證圖例
指紋、面部、聲音……這種生物識別方式也是理想的身份驗證「密碼」,因為它們基本能夠證明服務是你本人在使用。
指紋登錄可能是用户最熟悉的生物識別方式,而面部驗證、聲音驗證也越來越常見於支付環節和登錄環節。據 This is Money 報道,巴克萊銀行、匯豐銀行、哈利法克斯銀行等多家英國銀行目前都支持聲紋識別,在英國有 300 多萬銀行客户使用聲紋識別系統來登陸他們的銀行賬户。而我們熟悉的微信也有聲音鎖登錄的選項,不過對聲音環境的要求更高。
再加上部分保密機構的瞳孔驗證,亞馬遜開始試行的刷臉支付,支持生物識別的場景也在增多。
▲圖片來自:This is Money
只是這種生物「密碼」一旦被盜後果更嚴重。畢竟你可以隨意更改你的數字密碼,但你的臉、指紋、聲音,這些都是無法改變的。一次被盜,終身憂慮。
使用常用設備輔助登錄、驗證也是常見的做法。越來越多的服務想要你用手機掃碼登錄,除了 提升手機應用活躍度外,可能還有一層安全的考慮。像 QQ、微信這樣的社交應用還增加了一個輔助驗證的環節,很大程度上也能保證賬户安全性。
雙重驗證也是很好保護賬户安全的做法。蘋果雙重認證就能為 Apple ID 提供多一層的額外安全保護,這個額外的認證方式讓其他人知道密碼也無法訪問你的賬户,因為它還會在你的常用設備上顯示一個六位數的驗證碼。
▲ 蘋果設備的二次驗證
Authenticator app 則是不管什麼設備都能夠使用的雙重驗證應用,二次驗證提供了更強的安全保障。就拿我們自己舉個例子,愛範兒沒用上 Google 身份驗證器之前,還會有作者賬户被盜,連續盜發多篇文章。但在用上了 Authenticator 之後,這種情況就沒出現過了。
但即便目前已經有了不少的無密碼登錄方式,密碼還是沒那麼容易消失。因為不少無密碼方案只能在較新的設備上使用,很多無密碼登錄系統還會要求用户有兩台以上的智能設備輔助驗證。在用户智能設備持有情況和觀念都有較大差別的今天,想進入「無密碼時代」任重道遠。
但不管怎樣,微軟已經打響了第一槍,這是「無密碼時代」即將來臨的標誌性事件。
題圖來自《網絡迷蹤》
資料來源:愛範兒(ifanr)
請按此登錄後留言。未成為會員? 立即註冊