在电影《网络迷踪》中,你可以看到线上世界的互联互通和密码保护系统的脆弱。
女儿失踪,父亲寻找。通过对女儿的了解猜中第一个应用密码解锁服务成为了寻人大战的第一步,之后通过不同的密码找回、验证码验证,父亲轻易就进入了女儿所在的网络世界。
▲ 在进入一个账户的情况下,其他账户也能接连被找回密码. 图片来自:《网络迷踪》
在这过程中,密码好像没发挥什么阻隔作用。毕竟在用户自己也常忘记密码的线上世界,服务提供商总是能给你提供了一个又一个密码找回的选项,让你能顺利使用它们的产品。
既然用户自己记不住密码,破解密码也并不难,为什么我们还需要密码的存在呢?微软说不,我们不需要密码——密码,拜拜了您嘞!
「微人希」对密码说拜拜 对干掉密码这件事,微软蓄谋已久。
2015 年,微软就在手提电脑中引入了面部解锁的技术。它还特意构建了一款应用——微软验证器(Microsoft Authenticator),让用户可以下载到手机中以不断变化的代码作为新密码。
▲ 微软验证器
而在 2018 年,微软 Win10 S 的操作系统会在用户不更改默认设置的情况下去除密码。如果用户遵循系统推荐进行设置,那他们就不会看到设置密码的选项。
终于,微软在 2021 年觉得是时候了,「无密码时代」也应该到来了。所以从 9 月 15 日开始,微软允许用户删除微软账户的密码,使用微软认证程序、指纹识别、面部识别、Windows Hello、安全密钥或短信/电子邮件验证码登录微软账户。
这意味着即便你不设置任何密码,依然可以登录微软账户,再也不需要把密码写在笔记本上了。
▲ 微软要让密码尽可能消失
从引入新的登录方式开始,再慢慢引导用户使用非密码方式登录,最后直接进入无密码时代。一步步地推进,终于干掉了密码。这一次连非微软的粉丝也叫起了「微人希」——微软,人类的希望。
这一切都是因为密码实在太「讨人厌」了。
微软公司副总裁 Vasu Jakkal 就表示「由于账号和密码被盗,网络攻击的数量增加了——作为防御者,我们在这个不对称的游戏中还有很多工作要做。没有密码,你就得到了高级的安全保障,而且你的登录方式简单得多。」
▲ 微软会提供多样的登录方式
在 2017 年 12 月的官方博客中,微软还会把密码称为「早期计算机时期的老古董」,还承认它具备一定的阻拦犯罪能力。但在宣布进入「无密码时代」后,微软首席信息安全官 Bret Arsenault 直接表示:
不是所有人都讨厌密码,依然会有一小部分人喜欢密码,他们的名字是罪犯。
不是所有人都讨厌密码,依然会有一小部分人喜欢密码,他们的名字是罪犯。
▲ 黑客喜欢密码. 图片来自:Fortune
密码怎么成了众矢之的?
等会,密码真的有那么糟吗?我们早就习惯了密码登录的方式,还用了它很多年了,怎么它突然就变成大公司想要消除的「罪犯利器」了呢?
事实上,密码一开始确实很美好、很有用,它是人们使用互联网服务时能接触到的简单又直接的解决方案。但那是你需要记住的密码还不多的年代。随着你使用的线上服务越来越多,你需要记住的密码也越来越多,复用、遗忘,被盗之后导致一连串账户的丢失让密码陷入了尴尬境地。
对于这种情况,数字密码的发明人 FernandoCorbató 也认为密码的形式存在着很大的问题。多年前在接受华尔街日报采访时, 87 岁的 FernandoCorbató 就表示密码已经成为「一种噩梦」。
不幸的是,随着万维网的发展,这已经变成了一场噩梦。我认为没有人能记住所有已发布或设置的密码。这就给人们留下了两个选择。你要么把所有的密码用小本本记下来,要么就是选择某种软件来管理它们,但不管是哪一种都很麻烦。
不幸的是,随着万维网的发展,这已经变成了一场噩梦。我认为没有人能记住所有已发布或设置的密码。这就给人们留下了两个选择。你要么把所有的密码用小本本记下来,要么就是选择某种软件来管理它们,但不管是哪一种都很麻烦。
▲ 数字密码的发明者 FernandoCorbató
在计算机还没有被广泛使用时,FernandoCorbató 就曾预言互联网及信息安全系统将会遭到攻击:「真正可怕的是,我们让电脑变得极其容易使用,所以它将被越来越多地使用。」而他的这个观点换在密码上同样适用,密码是门槛极低的解决方案,所以它也会被人盯上。
Facebook 前些年的麻烦缠身其实就和密码有不小的关系。当时安全专家 KrebsOnSecurity 揭露了 Facebook 使用明文纯文本的形式,在内部平台存储了数以亿计的用户密码。而且这些账号密码还可以被超过两万名 Facebook 员工搜索到。
互联网公司的第一课应该是不要用明文存储用户的隐私信息,可惜这堂课很多学生都没学好,Facebook、Twitter 在这个事情上都是「坏学生」。但就算互联网公司没有明文存储你的密码,你的密码也并不安全。
▲ Facebook 密码登陆界面
皮鲁安全之家曾经介绍过恶意软件驱动能够从全网范围内的用户 Web 浏览器及基于 Web 的登录表单中窃取账号密码。只需要几美金或等值的虚拟货币,「黑市买家」就能够买到这些日志的访问权。更进一步,犯罪分子只要花更多的钱就可以直接购买指定账号的凭证信息。
更糟的是很多人密码是复用的,一个密码的丢失可能会让多个账户同时陷入危险的境地。
将密码设置的复杂一点能够防止密码被盗吗?对于想要强行破解你密码的黑客来说,复杂的密码的确让他们更难操作。但遗憾的是,或许是为了帮助自己记忆,或许是对自己设置的密码已经有了感情,很多人的密码设置都非常简单——像纸糊的一样,一捅就破。
▲ 你的密码是 123456 吗?
美国密码管理应用公司 Splashdata 每年发布最弱密码榜单已经成了他们的保留项目。每次榜单发出,你就会发现过去一年人们依旧在犯蠢。
从 2013 年开始,铁打的「123456」和「password」就牢牢占据了最弱密码榜的前两位,有传言说乌克兰武装部队的「第聂伯罗」军队自动化控制系统的服务器密码也是「123456」。
连军用密码都如此简单,何况其他?Splashdata 表示,前 25 个最弱密码中,有 10% 的人都在使用它们。这意味着你去街上找十个人,这 25 个最弱密码几乎都能登录某一个人的账户。
▲「2018 年度最弱密码」榜单 TOP 25
有的人为了避免这种容易被盗的简单密码,往往会把密码设计的极为复杂(有的会选用系统的复杂密码推荐),甚至每个服务密码都不同。但没什么用,因为自己要是忘了也只能找回,最终还得靠邮箱短信验证码。
简单的不安全,复杂的记不住,不管简单还是复杂都有可能被盗……这样一看,密码的缺点可不少。
没了密码,我们怎么登录
想要消灭密码的公司也不少。但所有有这个想法的公司都需要回答一个问题,没了密码应该怎么让用户登录呢?
▲ 无密码登录
2012 年 7 月成立的行业协会 FIDO 的宗旨就是解决强制认证设备的交互性和用户面临大量复杂的用户名和密码的问题,微软、苹果、Google、Facebook 都是协会成员。FIDO 的执行董事 Andrew Shikiar 认为用户早就习惯了设置密码,想要改变用户的行为习惯,减少他们对密码的依赖是很难的。
因此FIDO 的工作更多是向普通用户科普无密码体验的好处,让更多人接受无密码更好的观念。这有点像戒烟,密码的方便就像香烟给人的愉悦,但它长期的健康风险应该被越来越多人所了解。FIDO 除了做科普,也会对新的无密码技术提出建议,让无密码系统越来越标准化。
▲ 无密码和二次验证图例
指纹、面部、声音……这种生物识别方式也是理想的身份验证「密码」,因为它们基本能够证明服务是你本人在使用。
指纹登录可能是用户最熟悉的生物识别方式,而面部验证、声音验证也越来越常见于支付环节和登录环节。据 This is Money 报道,巴克莱银行、汇丰银行、哈利法克斯银行等多家英国银行目前都支持声纹识别,在英国有 300 多万银行客户使用声纹识别系统来登陆他们的银行账户。而我们熟悉的微信也有声音锁登录的选项,不过对声音环境的要求更高。
再加上部分保密机构的瞳孔验证,亚马逊开始试行的刷脸支付,支持生物识别的场景也在增多。
▲图片来自:This is Money
只是这种生物「密码」一旦被盗后果更严重。毕竟你可以随意更改你的数字密码,但你的脸、指纹、声音,这些都是无法改变的。一次被盗,终身忧虑。
使用常用设备辅助登录、验证也是常见的做法。越来越多的服务想要你用手机扫码登录,除了 提升手机应用活跃度外,可能还有一层安全的考虑。像 QQ、微信这样的社交应用还增加了一个辅助验证的环节,很大程度上也能保证账户安全性。
双重验证也是很好保护账户安全的做法。苹果双重认证就能为 Apple ID 提供多一层的额外安全保护,这个额外的认证方式让其他人知道密码也无法访问你的账户,因为它还会在你的常用设备上显示一个六位数的验证码。
▲ 苹果设备的二次验证
Authenticator app 则是不管什么设备都能够使用的双重验证应用,二次验证提供了更强的安全保障。就拿我们自己举个例子,爱范儿没用上 Google 身份验证器之前,还会有作者账户被盗,连续盗发多篇文章。但在用上了 Authenticator 之后,这种情况就没出现过了。
但即便目前已经有了不少的无密码登录方式,密码还是没那么容易消失。因为不少无密码方案只能在较新的设备上使用,很多无密码登录系统还会要求用户有两台以上的智能设备辅助验证。在用户智能设备持有情况和观念都有较大差别的今天,想进入「无密码时代」任重道远。
但不管怎样,微软已经打响了第一枪,这是「无密码时代」即将来临的标志性事件。