密碼就快要徹底消失了，沒有人懷念它

我打開了一個叫“PasswordMonster”的網站，想測試一下地球人最常用的密碼有多（不）安全。

輸入“123456”，網站顯示這個密碼被暴力破解的時間是 0 秒?！?8888888”則是 0.01 秒。

現(xiàn)在，你很容易就能找到類似“如何設置一個無法破解的密碼”的教程，多花心思就可以創(chuàng)建一個密碼，一個需要 60 億年才能被暴力破解的密碼。

但問題是，你很有可能記不住。不然為什么很多人只要沒被系統(tǒng)提示密碼過于簡單，就一定會把自己的生日用作密碼。因為其他的，記不住。然后，你陷入“忘記密碼 - 重置密碼 - 忘記密碼”的循環(huán)。

哪怕我記得住 60 億年才能被破解的密碼，也抵擋不住數(shù)據庫泄露。比如，在“超星學習通”這樣的大規(guī)模數(shù)據泄漏事件中，用戶的賬號、密碼等個人信息，都可能被不法分子竊取、售賣甚至詐騙。

這種情況下，我創(chuàng)建再復雜的密碼也無濟于事，唯一能做的，也只有事后立馬修改密碼。

那如果互聯(lián)網干脆不用密碼呢？我們是不是就可以不記密碼，也不怕數(shù)據泄漏？

密碼這個“老東西”，有不少問題  

20 世紀 60 年代，“口令”（Password）這一概念伴隨初代互聯(lián)網誕生，最初的理念是通過用戶定制化的密碼設計，讓使用者本身，成為這個安全系統(tǒng)中一道重要防線。

這套系統(tǒng)在之后四十多年間一直行之有效，甚至可以說：正是基于這套口令驗證系統(tǒng)，互聯(lián)網才得以有了用戶登錄的入口，才得以繁榮發(fā)展。

理論上，密碼對于抵御常見的黑客破譯（通常是通過計算哈希值的方式）仍然行之有效。當你設置了一個非常復雜的密碼，即使黑客用的破譯設備是超級計算機，也要花上萬億世紀才能破解。

比如上圖中典型的隨機密碼，即使使用每秒 100 萬億次浮點運算能力的超級計算機，也需要 8.47 萬億世紀才能暴力破解

但進入 21 世紀，移動互聯(lián)網時代高速發(fā)展，大多數(shù)人都會擁有數(shù)百個需要設置密碼的互聯(lián)網賬戶，在多個平臺使用相同的密碼幾乎變成無法避免的事。

更讓人害怕的是，存放這些賬戶信息的數(shù)據庫也有泄露風險，比如平臺內部操作不當，或者是相關人員因一己私利，導致數(shù)據庫泄漏。接著數(shù)億用戶的真實信息在暗網被公開售賣。這類事情頻繁發(fā)生。

對信息已被泄漏的用戶來說，更致命的是，暴露一個平臺的賬號密碼等信息，等同于暴露多個平臺的信息，因為很多用戶在不同平臺上使用的是同一密碼。

如今規(guī)模龐大的黑客組織，通常會用各種渠道收集已經泄漏的數(shù)據庫，并通過整合，描繪出一個人在互聯(lián)網中的各種足跡，然后歸檔到一起，搭建“社工庫”。你可能就在這個過程中，被大致推斷出你在其他平臺的密碼。

舉例來講，如今絕大部分賬號都只需要一個郵箱 / 手機號碼，以及一個密碼（不少人會重復使用同一密碼）即可登錄，但如果這些信息已從數(shù)據庫中泄漏，黑客便可以按圖索驥，拼湊出你在其他平臺的賬號密碼信息。如今，以上操作已經完全可以通過自動化操作（俗稱“撞庫”）來完成。

還有成本更低的騙局。不法分子會利用現(xiàn)有的泄漏信息，通過網絡釣魚，直接向真人騙取更多信息，最常見的是山寨登錄網站以及詐騙電話。即使你設置了由各種隨機數(shù)字、字母、符號組成的超高強度密碼，但在幾乎 1:1 復刻官方登錄頁面的詐騙網站面前，也很容易掉坑里。

由此可見，現(xiàn)行的這套口令機制，很多時候反而成了信息泄漏的幫兇。

但我們卻很難將其完全歸咎于密碼系統(tǒng)。畢竟這是一個從 20 世紀 80 年代之后原理就基本定型的系統(tǒng)，當時的設計者大概料想不到 40 年后的今天，每個人都會有上百個互聯(lián)網賬號的“盛況”。

現(xiàn)有的密碼系統(tǒng)就像是一個早已不堪重負的老式蒸汽輪機，問題頻發(fā)，卻不得不繼續(xù)驅動著整個互聯(lián)網繼續(xù)航行。但業(yè)內也開始意識到這些歷史遺留問題，他們打算直接另起爐灶，打造一套可以完全取代密碼的驗證機制。

FIDO，“無密碼”的關鍵  

蘋果在今年的 WWDC 大會上，介紹了一個無需用戶手打繁瑣密碼的新功能 ——“通行密鑰”（Passkeys）。有了它，用戶不用再輸入密碼，直接使用 Face ID / Touch ID（面部識別 / 指紋識別）等方式，授權使用“通行密鑰”，這時候用戶在本地就生成了一個私鑰。與此同時，平臺服務器端也保留著一個用于驗證的公鑰，一旦這兩者匹配，就能實現(xiàn)無密碼登錄。用戶在這個過程中，只需要通過生物特征識別。

▲ 蘋果向開發(fā)者介紹“通行密鑰”丨 Apple

無獨有偶，谷歌在今年的 Google I / O 大會上，也介紹了無密碼登錄技術：用戶在 Chrome 瀏覽器中登入網站時，可以在就近的手機端上收到用于登錄的驗證。同樣的技術未來也會被整合進電視、智能手表，甚至汽車等智能平臺。

▲ 谷歌也在推廣無密碼登錄技術丨 Google

支持以上這些體驗的底層技術，都來自一個致力于推動“無密碼”進程的組織 ——FIDO 聯(lián)盟。FIDO 制定了相關的技術標準，并推廣到了各大互聯(lián)網巨頭那里?，F(xiàn)在，F(xiàn)IDO 的成員不僅包括蘋果、谷歌、微軟這些主流的操作系統(tǒng)廠商，也包括高通、博通這些芯片硬件供應商，以及 Paypal 這樣的支付應用巨頭。

▲ FIDO 聯(lián)盟成員一覽丨 FIDO

這些來自不同領域的成員，在同一套技術標準的框架下協(xié)力，或許將來能保證無密碼登錄體驗的一致性，甚至是用戶在不同設備 / 應用之間的互聯(lián)互通性。

比如像蘋果在 WWDC 期間展示的那樣：iPhone 用戶可以通過掃碼，在一臺 Windows PC 上，使用 Chrome 瀏覽器登錄一個支持 FIDO 技術的賬戶，這樣一個類似“微信掃碼登錄”的簡單操作，更像是蘋果、微軟、谷歌三大互聯(lián)網巨頭在無密碼領域努力的縮影 。

▲ 有時候，實現(xiàn)一個類似“微信掃碼登錄”的簡單操作也挺費勁的｜Apple

公鑰，配合私鑰  

從用戶體驗來看，F(xiàn)IDO 與現(xiàn)在的指紋 / 人臉識別驗證登錄并無太大區(qū)別，甚至與主流的密碼自動填寫服務也相差無幾。

最重要的區(qū)別被隱藏在了登錄頁面之下：FIDO 技術并非是由系統(tǒng)生成一個隨機密碼，而是借助“公鑰 + 私鑰”的驗證方式，在設備本地生成一個私鑰，同時賬號服務器端保留公鑰。只有私鑰搭配公鑰進行登錄驗證時，才能完成。

▲ 按個指紋就行了丨 Apple

對于那些用戶無法輕易辨認的釣魚網站，已經在注冊中使用了 FIDO 技術的賬號，檢測到本地的私鑰無法與正確的網頁公鑰匹配，也就不會傳輸任何信息，這樣就從根源上避免了各種高仿登錄頁面的詐騙攻擊，以及數(shù)據庫泄露帶來的風險。

當網頁檢測到設備上已經存儲了對應的私鑰后，由于已經執(zhí)行過對應的生物驗證，服務器端便無需再次判斷是來自真實用戶的訪問，還是惡意的機器人攻擊，當然也就不必再加入重復的驗證步驟。比如各種繁雜的驗證碼輸入，以及各種“證明自己不是機器人”的 CAPTCHA 人機驗證。

▲ 類似這種讓人懷疑自己是不是人類的人機驗證，應該再也用不上了｜網絡

此外，當用戶切換設備，或想在其他用戶的設備上登錄自己的賬號時，蘋果的通行密鑰同樣可以借助數(shù)據備份或二維碼等方式，轉移本地私鑰以及輔助驗證。需要強調的是，私鑰永遠是儲存在用戶的本地設備上。

離沒有密碼的未來，還有最后一步  

仿佛是一夜之間，各大科技巨頭都在推進 FIDO 無密碼技術，但 FIDO 聯(lián)盟早在 2012 年就已成立，那時智能手機甚至還尚未普及，這個組織就開始研究更先進的認證方式了。

但消滅密碼并不簡單。目前我們熟悉的互聯(lián)網生態(tài)，可以說是根治于密碼驗證機制。密碼已經成為互聯(lián)網 DNA 中的一部分。所以，F(xiàn)IDO 聯(lián)盟即便拉攏了業(yè)內巨頭，在過去十年也只能循序漸進，一步步尋求突破。

在過去數(shù)年中，F(xiàn)IDO 聯(lián)盟推行過三種不同的無密碼協(xié)議。其中，F(xiàn)IDO UAF 于 2014 年被提出：用戶通過安裝生物驗證裝置，實現(xiàn)諸如直接識別指紋并完成支付等操作。

▲ FIDO UAF 丨 FIDO

另一個叫“FIDO U2F”的技術，則是通過兩步驗證，來提供更多的安全加密方式，包括藍牙 / NFC 物理密鑰、兩步驗證碼等方式實現(xiàn)。如今這同樣也已經是非常通用的驗證技術，我們日常生活幾乎每天都要收到的短信驗證碼，也屬于此類。

▲ FIDO U2F 丨 FIDO

在上述兩個協(xié)議之后，真正開始推動完全無密碼時代的 FIDO2 協(xié)議，于 2015 年誕生。這個協(xié)議也歷經了八年，直到 2022 年，才讓 FIDO 成為取代密碼的時刻終于成熟，得以在 WWDC 與 Google I / O 這樣全球矚目的舞臺上亮相。

▲ FIDO2｜FIDO

在 FIDO 聯(lián)盟成立了十年之后的今天，互聯(lián)網歷史在無密碼領域的“第三階段”，才算是真正踏出最重要的一步。

蘋果已經宣布在今年九月發(fā)布的 iOS 16 、iPadOS 16 和 macOS 13 的正式版中，都將支持基于 FIDO 技術而來的“通行密鑰”，而谷歌則是在 2022 年底之前，為自家的 Android、Chrome 瀏覽器等平臺加入支持。

微軟也已經發(fā)布聲明，計劃在“未來數(shù)月內”在 Windows 系統(tǒng)中加入對 FIDO 的支持。距離真正的實用，只有一步之遙了。

雖然 FIDO 所展現(xiàn)出的無密碼未來很誘人，但這種新標準仍會有一些現(xiàn)實問題：最重要的仍是需要更多的賬號服務支持這一技術，這注定是一個循序漸進，逐漸替換的過程。

此外，在不同的的操作系統(tǒng) / 設備之間，如何讓用戶更加方便地同步本地私鑰等問題，也會影響到實際的推廣過程：包括 iPhone 用戶將私鑰同步至 Windows PC 或 Android 手機（或者反過來同步），加上 Android 第三方系統(tǒng)林立的現(xiàn)狀，用戶在實際使用中，可能會遇到遠比“在他人電腦上登錄自己賬號”更加復雜的需求。

“消滅密碼”對普通的上網沖浪選手來講，最重要的當然還是：他們再也不用絞盡腦汁設置密碼，忘記之后被迫重置了。

參考

• [1]https://www.scmagazine.com/perspective/identity-and-access/will-passkeys-finally-put-an-end-to-the-password%EF%BF%BC

• [2] https://thestack.technology/passwordless-future-fido2-quantum-metric-ciso/

• [3] https://www.abc.net.au/news/2022-07-14/tech-giants-passwords-passkeys-apple-google-microsoft/101184382

本文來自微信公眾號：果殼 （ID：Guokr42），作者：黎明前線 Alan  編輯：biu

廣告聲明：文內含有的對外跳轉鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時間，結果僅供參考，IT之家所有文章均包含本聲明。