“密码”在互联网时代中,无疑是一个关乎每位网民虚拟资产的元素。而如何让用户更好的保护密码,在过去的许多年里同样也是各大互联网厂商在用户服务层面的重要课题之一。在互联网世界的刀光剑影里,围绕密码的攻防从未停止。但遗憾的是,“从来只有千日防贼,没有千日做贼”的道理,大规模密码泄露事件依旧时有发生,用户虚拟财产受损的案例也几乎从未停止过。
毕竟再精巧的锁也难免会被撬开,那么如果没有锁呢?其实早在2019年8月,谷歌方面就曾宣布Pixle系列机型的用户“未来几天内”将被允许使用指纹或屏幕锁、而非密码,来验证网络上的某些Google服务的身份。但这“未来几天内”一等就是接近四年,直到今年的5月3日,谷歌才正式推出了Passkey功能,用户可以用所持有的手机、电脑、平板等设备上已有的密码(PIN码、指纹、面部等),来代替谷歌账号的密码。
在用户需要登录谷歌账号时,只需解锁设备、无需再输入密码或进行二次验证。简单来说,Passkey就是用设备存储的离线识别信息来完成账号的验证。其实不仅仅是谷歌,此前微软就推出了类似的服务Authenticator,同样可以实现生态内的“无密码登录”。
那么,为何各大科技巨头处心积虑的想要“消除”密码呢?
原因其实很简单,因为密码作为安全手段,当下已经面临失去效用的风险。无论互联网厂商如何苦心孤诣地劝导用户使用更复杂的密码,比如要求密码需要包含英文字母大小写、数字、字符,但密码被攻破的现象依旧层出不穷。这一点不仅仅是个人,就连大型企业也同样无法免俗。例如此前一位黑客就用窃取到的密码,攻破了美国输油管道公司Colonial Pipeline的系统,并关闭了美国最大的燃料管道,最后以该公司向其支付了近500万美元的“赎金”而告终。
此外,越来越复杂的密码要求,还会导致用户的“逆反心理”。对于密码登录这一类安全验证方式而言,最能有效减少用户阻力的方法是什么?当然是设置一个更容易记住的密码,甚至为多个账号使用相同或相似的密码。
诸如不少朋友为了追剧,会经常与朋友家人共享视频网站的账号密码,也会与同事共享企业邮箱的密码,以便访问工作资源。但这样做的结果,就是绝大多数人其实并没有养成良好的密码使用习惯。在密码管理服务公司NordPass每年公布的“全球200个最常用密码榜单”中,“123456”这个密码的榜首地位几乎就堪称是稳如泰山。
由于密码本身越来越难堪大任,双因素认证也成为了过去数年间诸多科技企业力推的新的防护手段,相信iOS用户一定会隔三差五收到来自苹果方面,督促开通多因素认证的提示。所谓多因素认证,就是要求用户在登录过程中除了提交密码外,还要出示另一个身份认证因素,比如网易将军令,以及在端游时代和实体充值卡捆绑在一起的数字密保卡。
并且多因素认证的效果,也得到了实战的检验。来自微软的相关数据就显示,双因素认证可阻止99.9%的账号接管攻击(ATO)。不过多因素认证就与复杂的密码一样,都大幅度增加了用户的使用成本,毕竟在登录环节还需额外的硬件或接收验证码,本质上与记忆复杂的密码几乎是一回事。
所以这也就让一切又回到了原点,而无密码登录就是业界提出的一个,既方便用户使用又能确保安全的两全其美之策。
无密码的理念其实非常简单,既然传统的静态密码不好用,那么使用安全性更高的验证方式不就好了,诸如指纹、人脸等生物识别信息就成为了被选中的对象。而指纹识别、人脸识别更是目前在PC、移动设备上已经得到了广泛应用的解决方案,相比于传统的密码,生物信息是直接对应到具体的人,所以准确性无疑也更胜一筹。
说到底,密码其实就是一个证明“我是我”的工具,而要证明“我是我”并非只能依赖密码,诸如指纹、虹膜等生物特质,以及U盾、安全令牌等实体设备,同样也可以实现这一目的。虽然使用手机中存储的指纹和人脸信息来代替密码,在2019年或许还是一个颇具风险的大胆举措,但到了2023年,安全性已经不再成为阻碍了。
如今在iOS、iPadOS端,iPhone和iPad的指纹与Face ID是存储在芯片上的Secure Enclave区域,是一个与处理器之间有物理隔离的区域。而在Android阵营,现阶段高通骁龙移动平台也都加入了独立的“SPU”单元,该单元有单独的内核、闪存,以及电源管理,更别提在骁龙8 Gen1之后的旗舰平台还标配了专用的安全信任管理引擎。
显而易见,相比于近乎于纸糊的静态密码,使用步骤繁琐的双因素认证或是基于硬件技术进步的无密码,才是更为现代化的解决方案。当然,谷歌、微软等企业力推无密码也不是没有私心,因为无密码并不等于不需要密码,而是用更安全的方式代替了密码,但用户的身份认证总是需要一个凭证的,验证用户信息也是需要服务器资源的。所以他们的的打算就是收罗用户的身份信息,并将身份认证渠道牢牢攥在手中。
既有了用户信息、又有认证渠道后,账号体系的核心自然也就具备,这时候账号本身反而变得不再那么重要了。想必大家对于许多APP上出现的“微信登录”、“支付宝登录”、“本机号码一键登录” 不会陌生,这些登录方式的实现过程中同样也不需要输入密码。例如使用“微信登录”的APP在借用腾讯的安全体系后,代价就是微信的影响力不可避免的会渗透到自己的地盘中。
所以谷歌、微软等企业打的也是这个主意,是在“为用户好”的大旗下、行扩张自身影响力之实。无密码模式虽然降低了客户端的成本,却将压力转移到了服务端,一旦企业存储用户信息的服务器被攻破,所造成的破坏离显然将会更甚从前。毫无疑问,中小厂商的网络安全水平必然不如大厂,所以无密码也几乎就成为了后者的专属。
一旦无密码概念在用户层面得到广泛的认可,未来大家只需要用微软、谷歌、亚马逊、苹果的账号就能畅通无阻地使用互联网服务,而中小厂商在这个过程中或将会彻底失去建立属于自己的账号体系的能力。而这,无疑就是光明正大的阳谋。