我打开了一个叫“PasswordMonster”的网站,想测试一下地球人最常用的密码有多(不)安全。输入“123456”,网站显示这个密码被暴力破解的时间是0秒。“88888888”则是0.01秒。现在,你很容易就能找到类似“如何设置一个无法破解的密码”的教程,多花心思就可以创建一个密码,一个需要60亿年才能被暴力破解的密码。但问题是,你很有可能记不住。
不然为什么很多人只要没被系统提示密码过于简单,就一定会把自己的生日用作密码。因为其他的,记不住。然后,你陷入“忘记密码 - 重置密码 - 忘记密码”的循环。哪怕我记得住60亿年才能被破解的密码,也抵挡不住数据库泄露。比如,在“超星学习通”这样的大规模数据泄漏事件中,用户的账号、密码等个人信息,都可能被不法分子窃取、售卖甚至诈骗。
这种情况下,我创建再复杂的密码也无济于事,唯一能做的,也只有事后立马修改密码。那如果互联网干脆不用密码呢?我们是不是就可以不记密码,也不怕数据泄漏?
密码这个“老东西”,有不少问题。20世纪60年代,“口令”(Password)这一概念伴随初代互联网诞生,最初的理念是通过用户定制化的密码设计,让使用者本身,成为这个安全系统中一道重要防线。
这套系统在之后四十多年间一直行之有效,甚至可以说:正是基于这套口令验证系统,互联网才得以有了用户登录的入口,才得以繁荣发展。理论上,密码对于抵御常见的黑客破译(通常是通过计算哈希值的方式)仍然行之有效。当你设置了一个非常复杂的密码,即使黑客用的破译设备是超级计算机,也要花上万亿世纪才能破解。
但进入21世纪,移动互联网时代高速发展,大多数人都会拥有数百个需要设置密码的互联网账户,在多个平台使用相同的密码几乎变成无法避免的事。更让人害怕的是,存放这些账户信息的数据库也有泄露风险,比如平台内部操作不当,或者是相关人员因一己私利,导致数据库泄漏。接着数亿用户的真实信息在暗网被公开售卖。这类事情频繁发生。
对信息已被泄漏的用户来说,更致命的是,暴露一个平台的账号密码等信息,等同于暴露多个平台的信息,因为很多用户在不同平台上使用的是同一密码。如今规模庞大的黑客组织,通常会用各种渠道收集已经泄漏的数据库,并通过整合,描绘出一个人在互联网中的各种足迹,然后归档到一起,搭建“社工库”。你可能就在这个过程中,被大致推断出你在其他平台的密码。
如今,FIDO联盟成员一览丨FIDO这些来自不同领域的成员,在同一套技术标准的框架下协力,或许将来能保证无密码登录体验的一致性,甚至是用户在不同设备/应用之间的互联互通性。
比如像苹果在WWDC期间展示的那样:iPhone用户可以通过扫码,在一台Windows PC上,使用Chrome浏览器登录一个支持FIDO技术的账户,这样一个类似“微信扫码登录”的简单操作,更像是苹果、微软、谷歌三大互联网巨头在无密码领域努力的缩影。
从用户体验来看,FIDO与现在的指纹/人脸识别验证登录并无太大区别,甚至与主流的密码自动填写服务也相差无几。
最重要的区别被隐藏在了登录页面之下:FIDO技术并非是由系统生成一个随机密码,而是借助“公钥+私钥”的验证方式,在设备本地生成一个私钥,同时账号服务器端保留公钥。只有私钥搭配公钥进行登录验证时,才能完成。
对于那些用户无法轻易辨认的钓鱼网站,已经在注册中使用了FIDO技术的账号,检测到本地的私钥无法与正确的网页公钥匹配,也就不会传输任何信息,这样就从根源上避免了各种高仿登录页面的诈骗攻击,以及数据库泄露带来的风险。
仿佛是一夜之间,各大科技巨头都在推进FIDO无密码技术,但FIDO联盟早在2012年就已成立,那时智能手机甚至还尚未普及,这个组织就开始研究更先进的认证方式了。但消灭密码并不简单。目前我们熟悉的互联网生态,可以说是根治于密码验证机制。密码已经成为互联网DNA中的一部分。所以,FIDO联盟即便拉拢了业内巨头,在过去十年也只能循序渐进,一步步寻求突破。
虽然FIDO所展现出的无密码未来很诱人,但这种新标准仍会有一些现实问题:最重要的仍是需要更多的账号服务支持这一技术,这注定是一个循序渐进,逐渐替换的过程。
此外,在不同的的操作系统/设备之间,如何让用户更加方便地同步本地私钥等问题,也会影响到实际的推广过程:包括iPhone用户将私钥同步至Windows PC或Android手机(或者反过来同步),加上Android第三方系统林立的现状,用户在实际使用中,可能会遇到远比“在他人电脑上登录自己账号”更加复杂的需求。
“消灭密码”对普通的上网冲浪选手来讲,最重要的当然还是:他们再也不用绞尽脑汁设置密码,忘记之后被迫重置了。