没密码账号更安全谷歌没在开玩笑

2023-05-05 | 来源: 综合新闻 | 转到微信 | 有0人参与评论 | 字体: 放大缩小 | 收藏 | 打印

如果涉及微信、支付宝、银行和电商平台这类关键账户，不仅会极大地影响日常生活，也触碰到了极为敏感的财产安全，一旦泄露可能引起无可挽回的损失。另一方面，用户也要面对密码泄露的成本，一部分账号或许可以自助修改密码，无非花费一些可预计的时间，另一部分已经被篡改的账号，可能就需要用户提供足够的信息「证明你是你」。

本质上密码就是用来证明身份的工具，问题也恰恰于此——密码说到底也只是一串文本。不管是撞库、钓鱼邮件还是僵尸网络，作为身份证明工具的密码都太容易泄露和盗用，密码管理器和两步验证可以完善对「密码」的保护，但除了较高的学习和使用成本，并不能改变密码容易被盗用和篡改的本质。

个人密码，从入门到放弃

账号密码几乎是伴随着早期互联网而起，最典型的应用就是邮箱，但对中国 90 年后生人来说，可能更多是在 QQ 上记住了第一个账户和密码。而即便是在 QQ 兴起的新千年初，随着大量网站和软件的涌现，互联网用户注册了一个又一个账户，大部分人事实上只能记住少数的用户名和密码，很多时候都是重复使用同样的密码，或是用上「手写密码」这种笨方法。

但到后来，网络安全的攻防战越发激烈，再加之软件应用的大爆发也带来了大量的账号，于是也就有了 LastPass 等密码管理器应运而生。通过记住一个密码管理「所有账户的不同密码」，密码管理器在一定程度上确实解决了安全和便利的矛盾。

不过风险实际在转移——一旦密码管理器的密码泄露，所有账户都将全数暴露。LastPass 作为用户规模最大的密码管理器之一，就多次遭遇了攻击泄露事件，最近的一次发生在去年 8 月。即便是公认更安全的 1Password 和 Bitwarden（开源），同样也有可能发生数据泄露安全事故。

也是看到个人密码在安全方面的风险，两步验证开始逐渐流行，比如手机短信和邮箱验证码或是基于时间的验证器密钥（安全性更高）。然而更安全的验证器始终没有流行开来，远比短信和邮箱验证码来得小众，使用成本上也确实更高，需要增加查看和复制一次性密钥的步骤，还要考虑时间。

川普:"寻求第三个总统任期我没开玩笑"

特朗普:24小时结束俄乌冲突是夸张说法开玩笑的

希拉里捡到"枪" 大酸川普开玩笑

通行密钥与密码的区别，图 / 苹果

同样从身份证明这个角度出发，微软、谷歌和苹果主推的通行密钥，则将以往需要储存在服务器端的登录信息，替换为了非对称加密技术中的口令。当用户为某个账户创建通行密钥时，用户设备上会生成一对公私密钥，账户服务器只会获取并存储「公钥」，攻击者无法从服务器上的数据推导出存储在用户设备上，完成身份验证必需的「私钥」。并且因为没有「密码」，通行密钥也不存在「密码强度」「重复使用」等问题。

就像苹果认证体验团队的 Garrett Davidson 在去年 WWDC 上指出，有了通行密钥，重复使用、撞库、密码泄露和网络钓鱼等问题，都不再可能。

而在使用上，通行密钥与用户可信赖的设备绑定，支持设备上的指纹识别、Face ID、Windows Hello 以及 PIN 认证等。当然，用户也能将手机作为主要的验证设备，或者说「钥匙」来登录所有账户，不需要输入任何东西，一次识别就能实现身份验证，大大简化了过去两步验证 + 密码管理器 + 自动填写密码的形式。同时基于 FIDO 协议，用户可以使用 iPhone 上的通行密钥，在运行微软 Windows 的设备上登录谷歌 Chrome 浏览器。

凭借更安全的机制、更简单的验证步骤，几乎可以预见，通行密钥将完全取代密码。换句话说，可信赖的本地设备（比如手机）将在真正意义上成为我们不同网络身份的万能钥匙，打开的是一个「无密码」的世界。