密碼就快要徹底消失了，沒(méi)有人懷念它

我打開(kāi)了一個(gè)叫“PasswordMonster”的網(wǎng)站，想測(cè)試一下地球人最常用的密碼有多（不）安全。

輸入“123456”，網(wǎng)站顯示這個(gè)密碼被暴力破解的時(shí)間是 0 秒?！?8888888”則是 0.01 秒。

現(xiàn)在，你很容易就能找到類(lèi)似“如何設(shè)置一個(gè)無(wú)法破解的密碼”的教程，多花心思就可以創(chuàng)建一個(gè)密碼，一個(gè)需要 60 億年才能被暴力破解的密碼。

但問(wèn)題是，你很有可能記不住。不然為什么很多人只要沒(méi)被系統(tǒng)提示密碼過(guò)于簡(jiǎn)單，就一定會(huì)把自己的生日用作密碼。因?yàn)槠渌模洸蛔?。然后，你陷?strong>“忘記密碼 - 重置密碼 - 忘記密碼”的循環(huán)。

哪怕我記得住 60 億年才能被破解的密碼，也抵擋不住數(shù)據(jù)庫(kù)泄露。比如，在“超星學(xué)習(xí)通”這樣的大規(guī)模數(shù)據(jù)泄漏事件中，用戶(hù)的賬號(hào)、密碼等個(gè)人信息，都可能被不法分子竊取、售賣(mài)甚至詐騙。

這種情況下，我創(chuàng)建再?gòu)?fù)雜的密碼也無(wú)濟(jì)于事，唯一能做的，也只有事后立馬修改密碼。

那如果互聯(lián)網(wǎng)干脆不用密碼呢？我們是不是就可以不記密碼，也不怕數(shù)據(jù)泄漏？

密碼這個(gè)“老東西”，有不少問(wèn)題  

20 世紀(jì) 60 年代，“口令”（Password）這一概念伴隨初代互聯(lián)網(wǎng)誕生，最初的理念是通過(guò)用戶(hù)定制化的密碼設(shè)計(jì)，讓使用者本身，成為這個(gè)安全系統(tǒng)中一道重要防線。

這套系統(tǒng)在之后四十多年間一直行之有效，甚至可以說(shuō)：正是基于這套口令驗(yàn)證系統(tǒng)，互聯(lián)網(wǎng)才得以有了用戶(hù)登錄的入口，才得以繁榮發(fā)展。

理論上，密碼對(duì)于抵御常見(jiàn)的黑客破譯（通常是通過(guò)計(jì)算哈希值的方式）仍然行之有效。當(dāng)你設(shè)置了一個(gè)非常復(fù)雜的密碼，即使黑客用的破譯設(shè)備是超級(jí)計(jì)算機(jī)，也要花上萬(wàn)億世紀(jì)才能破解。

比如上圖中典型的隨機(jī)密碼，即使使用每秒 100 萬(wàn)億次浮點(diǎn)運(yùn)算能力的超級(jí)計(jì)算機(jī)，也需要 8.47 萬(wàn)億世紀(jì)才能暴力破解

但進(jìn)入 21 世紀(jì)，移動(dòng)互聯(lián)網(wǎng)時(shí)代高速發(fā)展，大多數(shù)人都會(huì)擁有數(shù)百個(gè)需要設(shè)置密碼的互聯(lián)網(wǎng)賬戶(hù)，在多個(gè)平臺(tái)使用相同的密碼幾乎變成無(wú)法避免的事。

更讓人害怕的是，存放這些賬戶(hù)信息的數(shù)據(jù)庫(kù)也有泄露風(fēng)險(xiǎn)，比如平臺(tái)內(nèi)部操作不當(dāng)，或者是相關(guān)人員因一己私利，導(dǎo)致數(shù)據(jù)庫(kù)泄漏。接著數(shù)億用戶(hù)的真實(shí)信息在暗網(wǎng)被公開(kāi)售賣(mài)。這類(lèi)事情頻繁發(fā)生。

對(duì)信息已被泄漏的用戶(hù)來(lái)說(shuō)，更致命的是，暴露一個(gè)平臺(tái)的賬號(hào)密碼等信息，等同于暴露多個(gè)平臺(tái)的信息，因?yàn)楹芏嘤脩?hù)在不同平臺(tái)上使用的是同一密碼。

如今規(guī)模龐大的黑客組織，通常會(huì)用各種渠道收集已經(jīng)泄漏的數(shù)據(jù)庫(kù)，并通過(guò)整合，描繪出一個(gè)人在互聯(lián)網(wǎng)中的各種足跡，然后歸檔到一起，搭建“社工庫(kù)”。你可能就在這個(gè)過(guò)程中，被大致推斷出你在其他平臺(tái)的密碼。

舉例來(lái)講，如今絕大部分賬號(hào)都只需要一個(gè)郵箱 / 手機(jī)號(hào)碼，以及一個(gè)密碼（不少人會(huì)重復(fù)使用同一密碼）即可登錄，但如果這些信息已從數(shù)據(jù)庫(kù)中泄漏，黑客便可以按圖索驥，拼湊出你在其他平臺(tái)的賬號(hào)密碼信息。如今，以上操作已經(jīng)完全可以通過(guò)自動(dòng)化操作（俗稱(chēng)“撞庫(kù)”）來(lái)完成。

還有成本更低的騙局。不法分子會(huì)利用現(xiàn)有的泄漏信息，通過(guò)網(wǎng)絡(luò)釣魚(yú)，直接向真人騙取更多信息，最常見(jiàn)的是山寨登錄網(wǎng)站以及詐騙電話。即使你設(shè)置了由各種隨機(jī)數(shù)字、字母、符號(hào)組成的超高強(qiáng)度密碼，但在幾乎 1:1 復(fù)刻官方登錄頁(yè)面的詐騙網(wǎng)站面前，也很容易掉坑里。

由此可見(jiàn)，現(xiàn)行的這套口令機(jī)制，很多時(shí)候反而成了信息泄漏的幫兇。

但我們卻很難將其完全歸咎于密碼系統(tǒng)。畢竟這是一個(gè)從 20 世紀(jì) 80 年代之后原理就基本定型的系統(tǒng)，當(dāng)時(shí)的設(shè)計(jì)者大概料想不到 40 年后的今天，每個(gè)人都會(huì)有上百個(gè)互聯(lián)網(wǎng)賬號(hào)的“盛況”。

現(xiàn)有的密碼系統(tǒng)就像是一個(gè)早已不堪重負(fù)的老式蒸汽輪機(jī)，問(wèn)題頻發(fā)，卻不得不繼續(xù)驅(qū)動(dòng)著整個(gè)互聯(lián)網(wǎng)繼續(xù)航行。但業(yè)內(nèi)也開(kāi)始意識(shí)到這些歷史遺留問(wèn)題，他們打算直接另起爐灶，打造一套可以完全取代密碼的驗(yàn)證機(jī)制。

FIDO，“無(wú)密碼”的關(guān)鍵  

蘋(píng)果在今年的 WWDC 大會(huì)上，介紹了一個(gè)無(wú)需用戶(hù)手打繁瑣密碼的新功能 ——“通行密鑰”（Passkeys）。有了它，用戶(hù)不用再輸入密碼，直接使用 Face ID / Touch ID（面部識(shí)別 / 指紋識(shí)別）等方式，授權(quán)使用“通行密鑰”，這時(shí)候用戶(hù)在本地就生成了一個(gè)私鑰。與此同時(shí)，平臺(tái)服務(wù)器端也保留著一個(gè)用于驗(yàn)證的公鑰，一旦這兩者匹配，就能實(shí)現(xiàn)無(wú)密碼登錄。用戶(hù)在這個(gè)過(guò)程中，只需要通過(guò)生物特征識(shí)別。

▲ 蘋(píng)果向開(kāi)發(fā)者介紹“通行密鑰”丨 Apple

無(wú)獨(dú)有偶，谷歌在今年的 Google I / O 大會(huì)上，也介紹了無(wú)密碼登錄技術(shù)：用戶(hù)在 Chrome 瀏覽器中登入網(wǎng)站時(shí)，可以在就近的手機(jī)端上收到用于登錄的驗(yàn)證。同樣的技術(shù)未來(lái)也會(huì)被整合進(jìn)電視、智能手表，甚至汽車(chē)等智能平臺(tái)。

▲ 谷歌也在推廣無(wú)密碼登錄技術(shù)丨 Google

支持以上這些體驗(yàn)的底層技術(shù)，都來(lái)自一個(gè)致力于推動(dòng)“無(wú)密碼”進(jìn)程的組織 ——FIDO 聯(lián)盟。FIDO 制定了相關(guān)的技術(shù)標(biāo)準(zhǔn)，并推廣到了各大互聯(lián)網(wǎng)巨頭那里?，F(xiàn)在，F(xiàn)IDO 的成員不僅包括蘋(píng)果、谷歌、微軟這些主流的操作系統(tǒng)廠商，也包括高通、博通這些芯片硬件供應(yīng)商，以及 Paypal 這樣的支付應(yīng)用巨頭。

▲ FIDO 聯(lián)盟成員一覽丨 FIDO

這些來(lái)自不同領(lǐng)域的成員，在同一套技術(shù)標(biāo)準(zhǔn)的框架下協(xié)力，或許將來(lái)能保證無(wú)密碼登錄體驗(yàn)的一致性，甚至是用戶(hù)在不同設(shè)備 / 應(yīng)用之間的互聯(lián)互通性。

比如像蘋(píng)果在 WWDC 期間展示的那樣：iPhone 用戶(hù)可以通過(guò)掃碼，在一臺(tái) Windows PC 上，使用 Chrome 瀏覽器登錄一個(gè)支持 FIDO 技術(shù)的賬戶(hù)，這樣一個(gè)類(lèi)似“微信掃碼登錄”的簡(jiǎn)單操作，更像是蘋(píng)果、微軟、谷歌三大互聯(lián)網(wǎng)巨頭在無(wú)密碼領(lǐng)域努力的縮影 。

▲ 有時(shí)候，實(shí)現(xiàn)一個(gè)類(lèi)似“微信掃碼登錄”的簡(jiǎn)單操作也挺費(fèi)勁的｜Apple

公鑰，配合私鑰  

從用戶(hù)體驗(yàn)來(lái)看，F(xiàn)IDO 與現(xiàn)在的指紋 / 人臉識(shí)別驗(yàn)證登錄并無(wú)太大區(qū)別，甚至與主流的密碼自動(dòng)填寫(xiě)服務(wù)也相差無(wú)幾。

最重要的區(qū)別被隱藏在了登錄頁(yè)面之下：FIDO 技術(shù)并非是由系統(tǒng)生成一個(gè)隨機(jī)密碼，而是借助“公鑰 + 私鑰”的驗(yàn)證方式，在設(shè)備本地生成一個(gè)私鑰，同時(shí)賬號(hào)服務(wù)器端保留公鑰。只有私鑰搭配公鑰進(jìn)行登錄驗(yàn)證時(shí)，才能完成。

▲ 按個(gè)指紋就行了丨 Apple

對(duì)于那些用戶(hù)無(wú)法輕易辨認(rèn)的釣魚(yú)網(wǎng)站，已經(jīng)在注冊(cè)中使用了 FIDO 技術(shù)的賬號(hào)，檢測(cè)到本地的私鑰無(wú)法與正確的網(wǎng)頁(yè)公鑰匹配，也就不會(huì)傳輸任何信息，這樣就從根源上避免了各種高仿登錄頁(yè)面的詐騙攻擊，以及數(shù)據(jù)庫(kù)泄露帶來(lái)的風(fēng)險(xiǎn)。

當(dāng)網(wǎng)頁(yè)檢測(cè)到設(shè)備上已經(jīng)存儲(chǔ)了對(duì)應(yīng)的私鑰后，由于已經(jīng)執(zhí)行過(guò)對(duì)應(yīng)的生物驗(yàn)證，服務(wù)器端便無(wú)需再次判斷是來(lái)自真實(shí)用戶(hù)的訪問(wèn)，還是惡意的機(jī)器人攻擊，當(dāng)然也就不必再加入重復(fù)的驗(yàn)證步驟。比如各種繁雜的驗(yàn)證碼輸入，以及各種“證明自己不是機(jī)器人”的 CAPTCHA 人機(jī)驗(yàn)證。

▲ 類(lèi)似這種讓人懷疑自己是不是人類(lèi)的人機(jī)驗(yàn)證，應(yīng)該再也用不上了｜網(wǎng)絡(luò)

此外，當(dāng)用戶(hù)切換設(shè)備，或想在其他用戶(hù)的設(shè)備上登錄自己的賬號(hào)時(shí)，蘋(píng)果的通行密鑰同樣可以借助數(shù)據(jù)備份或二維碼等方式，轉(zhuǎn)移本地私鑰以及輔助驗(yàn)證。需要強(qiáng)調(diào)的是，私鑰永遠(yuǎn)是儲(chǔ)存在用戶(hù)的本地設(shè)備上。

離沒(méi)有密碼的未來(lái)，還有最后一步  

仿佛是一夜之間，各大科技巨頭都在推進(jìn) FIDO 無(wú)密碼技術(shù)，但 FIDO 聯(lián)盟早在 2012 年就已成立，那時(shí)智能手機(jī)甚至還尚未普及，這個(gè)組織就開(kāi)始研究更先進(jìn)的認(rèn)證方式了。

但消滅密碼并不簡(jiǎn)單。目前我們熟悉的互聯(lián)網(wǎng)生態(tài)，可以說(shuō)是根治于密碼驗(yàn)證機(jī)制。密碼已經(jīng)成為互聯(lián)網(wǎng) DNA 中的一部分。所以，F(xiàn)IDO 聯(lián)盟即便拉攏了業(yè)內(nèi)巨頭，在過(guò)去十年也只能循序漸進(jìn)，一步步尋求突破。

在過(guò)去數(shù)年中，F(xiàn)IDO 聯(lián)盟推行過(guò)三種不同的無(wú)密碼協(xié)議。其中，F(xiàn)IDO UAF 于 2014 年被提出：用戶(hù)通過(guò)安裝生物驗(yàn)證裝置，實(shí)現(xiàn)諸如直接識(shí)別指紋并完成支付等操作。

▲ FIDO UAF 丨 FIDO

另一個(gè)叫“FIDO U2F”的技術(shù)，則是通過(guò)兩步驗(yàn)證，來(lái)提供更多的安全加密方式，包括藍(lán)牙 / NFC 物理密鑰、兩步驗(yàn)證碼等方式實(shí)現(xiàn)。如今這同樣也已經(jīng)是非常通用的驗(yàn)證技術(shù)，我們?nèi)粘Ｉ顜缀趺刻於家盏降亩绦膨?yàn)證碼，也屬于此類(lèi)。

▲ FIDO U2F 丨 FIDO

在上述兩個(gè)協(xié)議之后，真正開(kāi)始推動(dòng)完全無(wú)密碼時(shí)代的 FIDO2 協(xié)議，于 2015 年誕生。這個(gè)協(xié)議也歷經(jīng)了八年，直到 2022 年，才讓 FIDO 成為取代密碼的時(shí)刻終于成熟，得以在 WWDC 與 Google I / O 這樣全球矚目的舞臺(tái)上亮相。

▲ FIDO2｜FIDO

在 FIDO 聯(lián)盟成立了十年之后的今天，互聯(lián)網(wǎng)歷史在無(wú)密碼領(lǐng)域的“第三階段”，才算是真正踏出最重要的一步。

蘋(píng)果已經(jīng)宣布在今年九月發(fā)布的 iOS 16 、iPadOS 16 和 macOS 13 的正式版中，都將支持基于 FIDO 技術(shù)而來(lái)的“通行密鑰”，而谷歌則是在 2022 年底之前，為自家的 Android、Chrome 瀏覽器等平臺(tái)加入支持。

微軟也已經(jīng)發(fā)布聲明，計(jì)劃在“未來(lái)數(shù)月內(nèi)”在 Windows 系統(tǒng)中加入對(duì) FIDO 的支持。距離真正的實(shí)用，只有一步之遙了。

雖然 FIDO 所展現(xiàn)出的無(wú)密碼未來(lái)很誘人，但這種新標(biāo)準(zhǔn)仍會(huì)有一些現(xiàn)實(shí)問(wèn)題：最重要的仍是需要更多的賬號(hào)服務(wù)支持這一技術(shù)，這注定是一個(gè)循序漸進(jìn)，逐漸替換的過(guò)程。

此外，在不同的的操作系統(tǒng) / 設(shè)備之間，如何讓用戶(hù)更加方便地同步本地私鑰等問(wèn)題，也會(huì)影響到實(shí)際的推廣過(guò)程：包括 iPhone 用戶(hù)將私鑰同步至 Windows PC 或 Android 手機(jī)（或者反過(guò)來(lái)同步），加上 Android 第三方系統(tǒng)林立的現(xiàn)狀，用戶(hù)在實(shí)際使用中，可能會(huì)遇到遠(yuǎn)比“在他人電腦上登錄自己賬號(hào)”更加復(fù)雜的需求。

“消滅密碼”對(duì)普通的上網(wǎng)沖浪選手來(lái)講，最重要的當(dāng)然還是：他們?cè)僖膊挥媒g盡腦汁設(shè)置密碼，忘記之后被迫重置了。

參考

• [1]https://www.scmagazine.com/perspective/identity-and-access/will-passkeys-finally-put-an-end-to-the-password%EF%BF%BC

• [2] https://thestack.technology/passwordless-future-fido2-quantum-metric-ciso/

• [3] https://www.abc.net.au/news/2022-07-14/tech-giants-passwords-passkeys-apple-google-microsoft/101184382

本文來(lái)自微信公眾號(hào)：果殼 （ID：Guokr42），作者：黎明前線 Alan  編輯：biu

廣告聲明：文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。