密碼就快要徹底消失了，沒有人懷念它

我打開了一個叫“PasswordMonster”的網(wǎng)站，想測試一下地球人最常用的密碼有多（不）安全。

輸入“123456”，網(wǎng)站顯示這個密碼被暴力破解的時間是 0 秒?！?8888888”則是 0.01 秒。

現(xiàn)在，你很容易就能找到類似“如何設(shè)置一個無法破解的密碼”的教程，多花心思就可以創(chuàng)建一個密碼，一個需要 60 億年才能被暴力破解的密碼。

但問題是，你很有可能記不住。不然為什么很多人只要沒被系統(tǒng)提示密碼過于簡單，就一定會把自己的生日用作密碼。因?yàn)槠渌模洸蛔?。然后，你陷?strong>“忘記密碼 - 重置密碼 - 忘記密碼”的循環(huán)。

哪怕我記得住 60 億年才能被破解的密碼，也抵擋不住數(shù)據(jù)庫泄露。比如，在“超星學(xué)習(xí)通”這樣的大規(guī)模數(shù)據(jù)泄漏事件中，用戶的賬號、密碼等個人信息，都可能被不法分子竊取、售賣甚至詐騙。

這種情況下，我創(chuàng)建再復(fù)雜的密碼也無濟(jì)于事，唯一能做的，也只有事后立馬修改密碼。

那如果互聯(lián)網(wǎng)干脆不用密碼呢？我們是不是就可以不記密碼，也不怕數(shù)據(jù)泄漏？

密碼這個“老東西”，有不少問題  

20 世紀(jì) 60 年代，“口令”（Password）這一概念伴隨初代互聯(lián)網(wǎng)誕生，最初的理念是通過用戶定制化的密碼設(shè)計，讓使用者本身，成為這個安全系統(tǒng)中一道重要防線。

這套系統(tǒng)在之后四十多年間一直行之有效，甚至可以說：正是基于這套口令驗(yàn)證系統(tǒng)，互聯(lián)網(wǎng)才得以有了用戶登錄的入口，才得以繁榮發(fā)展。

理論上，密碼對于抵御常見的黑客破譯（通常是通過計算哈希值的方式）仍然行之有效。當(dāng)你設(shè)置了一個非常復(fù)雜的密碼，即使黑客用的破譯設(shè)備是超級計算機(jī)，也要花上萬億世紀(jì)才能破解。

比如上圖中典型的隨機(jī)密碼，即使使用每秒 100 萬億次浮點(diǎn)運(yùn)算能力的超級計算機(jī)，也需要 8.47 萬億世紀(jì)才能暴力破解

但進(jìn)入 21 世紀(jì)，移動互聯(lián)網(wǎng)時代高速發(fā)展，大多數(shù)人都會擁有數(shù)百個需要設(shè)置密碼的互聯(lián)網(wǎng)賬戶，在多個平臺使用相同的密碼幾乎變成無法避免的事。

更讓人害怕的是，存放這些賬戶信息的數(shù)據(jù)庫也有泄露風(fēng)險，比如平臺內(nèi)部操作不當(dāng)，或者是相關(guān)人員因一己私利，導(dǎo)致數(shù)據(jù)庫泄漏。接著數(shù)億用戶的真實(shí)信息在暗網(wǎng)被公開售賣。這類事情頻繁發(fā)生。

對信息已被泄漏的用戶來說，更致命的是，暴露一個平臺的賬號密碼等信息，等同于暴露多個平臺的信息，因?yàn)楹芏嘤脩粼诓煌脚_上使用的是同一密碼。

如今規(guī)模龐大的黑客組織，通常會用各種渠道收集已經(jīng)泄漏的數(shù)據(jù)庫，并通過整合，描繪出一個人在互聯(lián)網(wǎng)中的各種足跡，然后歸檔到一起，搭建“社工庫”。你可能就在這個過程中，被大致推斷出你在其他平臺的密碼。

舉例來講，如今絕大部分賬號都只需要一個郵箱 / 手機(jī)號碼，以及一個密碼（不少人會重復(fù)使用同一密碼）即可登錄，但如果這些信息已從數(shù)據(jù)庫中泄漏，黑客便可以按圖索驥，拼湊出你在其他平臺的賬號密碼信息。如今，以上操作已經(jīng)完全可以通過自動化操作（俗稱“撞庫”）來完成。

還有成本更低的騙局。不法分子會利用現(xiàn)有的泄漏信息，通過網(wǎng)絡(luò)釣魚，直接向真人騙取更多信息，最常見的是山寨登錄網(wǎng)站以及詐騙電話。即使你設(shè)置了由各種隨機(jī)數(shù)字、字母、符號組成的超高強(qiáng)度密碼，但在幾乎 1:1 復(fù)刻官方登錄頁面的詐騙網(wǎng)站面前，也很容易掉坑里。

由此可見，現(xiàn)行的這套口令機(jī)制，很多時候反而成了信息泄漏的幫兇。

但我們卻很難將其完全歸咎于密碼系統(tǒng)。畢竟這是一個從 20 世紀(jì) 80 年代之后原理就基本定型的系統(tǒng)，當(dāng)時的設(shè)計者大概料想不到 40 年后的今天，每個人都會有上百個互聯(lián)網(wǎng)賬號的“盛況”。

現(xiàn)有的密碼系統(tǒng)就像是一個早已不堪重負(fù)的老式蒸汽輪機(jī)，問題頻發(fā)，卻不得不繼續(xù)驅(qū)動著整個互聯(lián)網(wǎng)繼續(xù)航行。但業(yè)內(nèi)也開始意識到這些歷史遺留問題，他們打算直接另起爐灶，打造一套可以完全取代密碼的驗(yàn)證機(jī)制。

FIDO，“無密碼”的關(guān)鍵  

蘋果在今年的 WWDC 大會上，介紹了一個無需用戶手打繁瑣密碼的新功能 ——“通行密鑰”（Passkeys）。有了它，用戶不用再輸入密碼，直接使用 Face ID / Touch ID（面部識別 / 指紋識別）等方式，授權(quán)使用“通行密鑰”，這時候用戶在本地就生成了一個私鑰。與此同時，平臺服務(wù)器端也保留著一個用于驗(yàn)證的公鑰，一旦這兩者匹配，就能實(shí)現(xiàn)無密碼登錄。用戶在這個過程中，只需要通過生物特征識別。

▲ 蘋果向開發(fā)者介紹“通行密鑰”丨 Apple

無獨(dú)有偶，谷歌在今年的 Google I / O 大會上，也介紹了無密碼登錄技術(shù)：用戶在 Chrome 瀏覽器中登入網(wǎng)站時，可以在就近的手機(jī)端上收到用于登錄的驗(yàn)證。同樣的技術(shù)未來也會被整合進(jìn)電視、智能手表，甚至汽車等智能平臺。

▲ 谷歌也在推廣無密碼登錄技術(shù)丨 Google

支持以上這些體驗(yàn)的底層技術(shù)，都來自一個致力于推動“無密碼”進(jìn)程的組織 ——FIDO 聯(lián)盟。FIDO 制定了相關(guān)的技術(shù)標(biāo)準(zhǔn)，并推廣到了各大互聯(lián)網(wǎng)巨頭那里。現(xiàn)在，F(xiàn)IDO 的成員不僅包括蘋果、谷歌、微軟這些主流的操作系統(tǒng)廠商，也包括高通、博通這些芯片硬件供應(yīng)商，以及 Paypal 這樣的支付應(yīng)用巨頭。

▲ FIDO 聯(lián)盟成員一覽丨 FIDO

這些來自不同領(lǐng)域的成員，在同一套技術(shù)標(biāo)準(zhǔn)的框架下協(xié)力，或許將來能保證無密碼登錄體驗(yàn)的一致性，甚至是用戶在不同設(shè)備 / 應(yīng)用之間的互聯(lián)互通性。

比如像蘋果在 WWDC 期間展示的那樣：iPhone 用戶可以通過掃碼，在一臺 Windows PC 上，使用 Chrome 瀏覽器登錄一個支持 FIDO 技術(shù)的賬戶，這樣一個類似“微信掃碼登錄”的簡單操作，更像是蘋果、微軟、谷歌三大互聯(lián)網(wǎng)巨頭在無密碼領(lǐng)域努力的縮影 。

▲ 有時候，實(shí)現(xiàn)一個類似“微信掃碼登錄”的簡單操作也挺費(fèi)勁的｜Apple

公鑰，配合私鑰  

從用戶體驗(yàn)來看，F(xiàn)IDO 與現(xiàn)在的指紋 / 人臉識別驗(yàn)證登錄并無太大區(qū)別，甚至與主流的密碼自動填寫服務(wù)也相差無幾。

最重要的區(qū)別被隱藏在了登錄頁面之下：FIDO 技術(shù)并非是由系統(tǒng)生成一個隨機(jī)密碼，而是借助“公鑰 + 私鑰”的驗(yàn)證方式，在設(shè)備本地生成一個私鑰，同時賬號服務(wù)器端保留公鑰。只有私鑰搭配公鑰進(jìn)行登錄驗(yàn)證時，才能完成。

▲ 按個指紋就行了丨 Apple

對于那些用戶無法輕易辨認(rèn)的釣魚網(wǎng)站，已經(jīng)在注冊中使用了 FIDO 技術(shù)的賬號，檢測到本地的私鑰無法與正確的網(wǎng)頁公鑰匹配，也就不會傳輸任何信息，這樣就從根源上避免了各種高仿登錄頁面的詐騙攻擊，以及數(shù)據(jù)庫泄露帶來的風(fēng)險。

當(dāng)網(wǎng)頁檢測到設(shè)備上已經(jīng)存儲了對應(yīng)的私鑰后，由于已經(jīng)執(zhí)行過對應(yīng)的生物驗(yàn)證，服務(wù)器端便無需再次判斷是來自真實(shí)用戶的訪問，還是惡意的機(jī)器人攻擊，當(dāng)然也就不必再加入重復(fù)的驗(yàn)證步驟。比如各種繁雜的驗(yàn)證碼輸入，以及各種“證明自己不是機(jī)器人”的 CAPTCHA 人機(jī)驗(yàn)證。

▲ 類似這種讓人懷疑自己是不是人類的人機(jī)驗(yàn)證，應(yīng)該再也用不上了｜網(wǎng)絡(luò)

此外，當(dāng)用戶切換設(shè)備，或想在其他用戶的設(shè)備上登錄自己的賬號時，蘋果的通行密鑰同樣可以借助數(shù)據(jù)備份或二維碼等方式，轉(zhuǎn)移本地私鑰以及輔助驗(yàn)證。需要強(qiáng)調(diào)的是，私鑰永遠(yuǎn)是儲存在用戶的本地設(shè)備上。

離沒有密碼的未來，還有最后一步  

仿佛是一夜之間，各大科技巨頭都在推進(jìn) FIDO 無密碼技術(shù)，但 FIDO 聯(lián)盟早在 2012 年就已成立，那時智能手機(jī)甚至還尚未普及，這個組織就開始研究更先進(jìn)的認(rèn)證方式了。

但消滅密碼并不簡單。目前我們熟悉的互聯(lián)網(wǎng)生態(tài)，可以說是根治于密碼驗(yàn)證機(jī)制。密碼已經(jīng)成為互聯(lián)網(wǎng) DNA 中的一部分。所以，F(xiàn)IDO 聯(lián)盟即便拉攏了業(yè)內(nèi)巨頭，在過去十年也只能循序漸進(jìn)，一步步尋求突破。

在過去數(shù)年中，F(xiàn)IDO 聯(lián)盟推行過三種不同的無密碼協(xié)議。其中，F(xiàn)IDO UAF 于 2014 年被提出：用戶通過安裝生物驗(yàn)證裝置，實(shí)現(xiàn)諸如直接識別指紋并完成支付等操作。

▲ FIDO UAF 丨 FIDO

另一個叫“FIDO U2F”的技術(shù)，則是通過兩步驗(yàn)證，來提供更多的安全加密方式，包括藍(lán)牙 / NFC 物理密鑰、兩步驗(yàn)證碼等方式實(shí)現(xiàn)。如今這同樣也已經(jīng)是非常通用的驗(yàn)證技術(shù)，我們?nèi)粘Ｉ顜缀趺刻於家盏降亩绦膨?yàn)證碼，也屬于此類。

▲ FIDO U2F 丨 FIDO

在上述兩個協(xié)議之后，真正開始推動完全無密碼時代的 FIDO2 協(xié)議，于 2015 年誕生。這個協(xié)議也歷經(jīng)了八年，直到 2022 年，才讓 FIDO 成為取代密碼的時刻終于成熟，得以在 WWDC 與 Google I / O 這樣全球矚目的舞臺上亮相。

▲ FIDO2｜FIDO

在 FIDO 聯(lián)盟成立了十年之后的今天，互聯(lián)網(wǎng)歷史在無密碼領(lǐng)域的“第三階段”，才算是真正踏出最重要的一步。

蘋果已經(jīng)宣布在今年九月發(fā)布的 iOS 16 、iPadOS 16 和 macOS 13 的正式版中，都將支持基于 FIDO 技術(shù)而來的“通行密鑰”，而谷歌則是在 2022 年底之前，為自家的 Android、Chrome 瀏覽器等平臺加入支持。

微軟也已經(jīng)發(fā)布聲明，計劃在“未來數(shù)月內(nèi)”在 Windows 系統(tǒng)中加入對 FIDO 的支持。距離真正的實(shí)用，只有一步之遙了。

雖然 FIDO 所展現(xiàn)出的無密碼未來很誘人，但這種新標(biāo)準(zhǔn)仍會有一些現(xiàn)實(shí)問題：最重要的仍是需要更多的賬號服務(wù)支持這一技術(shù)，這注定是一個循序漸進(jìn)，逐漸替換的過程。

此外，在不同的的操作系統(tǒng) / 設(shè)備之間，如何讓用戶更加方便地同步本地私鑰等問題，也會影響到實(shí)際的推廣過程：包括 iPhone 用戶將私鑰同步至 Windows PC 或 Android 手機(jī)（或者反過來同步），加上 Android 第三方系統(tǒng)林立的現(xiàn)狀，用戶在實(shí)際使用中，可能會遇到遠(yuǎn)比“在他人電腦上登錄自己賬號”更加復(fù)雜的需求。

“消滅密碼”對普通的上網(wǎng)沖浪選手來講，最重要的當(dāng)然還是：他們再也不用絞盡腦汁設(shè)置密碼，忘記之后被迫重置了。

參考

• [1]https://www.scmagazine.com/perspective/identity-and-access/will-passkeys-finally-put-an-end-to-the-password%EF%BF%BC

• [2] https://thestack.technology/passwordless-future-fido2-quantum-metric-ciso/

• [3] https://www.abc.net.au/news/2022-07-14/tech-giants-passwords-passkeys-apple-google-microsoft/101184382

本文來自微信公眾號：果殼 （ID：Guokr42），作者：黎明前線 Alan  編輯：biu

廣告聲明：文內(nèi)含有的對外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。