來源:愛范兒
在電影《網絡迷蹤》中,你可以看到線上世界的互聯互通和密碼保護系統的脆弱。
女兒失蹤,父親尋找。通過對女兒的了解猜中第一個應用密碼解鎖服務成為了尋人大戰的第一步,之后通過不同的密碼找回、驗證碼驗證,父親輕易就進入了女兒所在的網絡世界。
在進入一個賬戶的情況下,其他賬戶也能接連被找回密碼. 圖片來自:《網絡迷蹤》
在這過程中,密碼好像沒發揮什么阻隔作用。畢竟在用戶自己也常忘記密碼的線上世界,服務提供商總是能給你提供了一個又一個密碼找回的選項,讓你能順利使用它們的產品。
既然用戶自己記不住密碼,破解密碼也并不難,為什么我們還需要密碼的存在呢?微軟說不,我們不需要密碼——密碼,拜拜了您嘞!
「微人希」對密碼說拜拜
對干掉密碼這件事,微軟蓄謀已久。
2015 年,微軟就在手提電腦中引入了面部解鎖的技術。它還特意構建了一款應用——微軟驗證器(Microsoft Authenticator),讓用戶可以下載到手機中以不斷變化的代碼作為新密碼。
微軟驗證器
而在 2018 年,微軟 Win10 S 的操作系統會在用戶不更改默認設置的情況下去除密碼。如果用戶遵循系統推薦進行設置,那他們就不會看到設置密碼的選項。
終于,微軟在 2021 年覺得是時候了,「無密碼時代」也應該到來了。所以從 9 月 15 日開始,微軟允許用戶刪除微軟賬戶的密碼,使用微軟認證程序、指紋識別、面部識別、Windows Hello、安全密鑰或短信/電子郵件驗證碼登錄微軟賬戶。
這意味著即便你不設置任何密碼,依然可以登錄微軟賬戶,再也不需要把密碼寫在筆記本上了。
微軟要讓密碼盡可能消失
從引入新的登錄方式開始,再慢慢引導用戶使用非密碼方式登錄,最后直接進入無密碼時代。一步步地推進,終于干掉了密碼。這一次連非微軟的粉絲也叫起了「微人希」——微軟,人類的希望。
這一切都是因為密碼實在太「討人厭」了。
微軟公司副總裁 Vasu Jakkal 就表示「由于賬號和密碼被盜,網絡攻擊的數量增加了——作為防御者,我們在這個不對稱的游戲中還有很多工作要做。沒有密碼,你就得到了高級的安全保障,而且你的登錄方式簡單得多。」
微軟會提供多樣的登錄方式
在 2017 年 12 月的官方博客中,微軟還會把密碼稱為「早期計算機時期的老古董」,還承認它具備一定的阻攔犯罪能力。但在宣布進入「無密碼時代」后,微軟首席信息安全官 Bret Arsenault 直接表示:
不是所有人都討厭密碼,依然會有一小部分人喜歡密碼,他們的名字是罪犯。
黑客喜歡密碼. 圖片來自:Fortune
密碼怎么成了眾矢之的?
等會,密碼真的有那么糟嗎?我們早就習慣了密碼登錄的方式,還用了它很多年了,怎么它突然就變成大公司想要消除的「罪犯利器」了呢?
事實上,密碼一開始確實很美好、很有用,它是人們使用互聯網服務時能接觸到的簡單又直接的解決方案。但那是你需要記住的密碼還不多的年代。隨著你使用的線上服務越來越多,你需要記住的密碼也越來越多,復用、遺忘,被盜之后導致一連串賬戶的丟失讓密碼陷入了尷尬境地。
對于這種情況,數字密碼的發明人 FernandoCorbató 也認為密碼的形式存在著很大的問題。多年前在接受華爾街日報采訪時, 87 歲的 FernandoCorbató 就表示密碼已經成為「一種噩夢」。
不幸的是,隨著萬維網的發展,這已經變成了一場噩夢。我認為沒有人能記住所有已發布或設置的密碼。這就給人們留下了兩個選擇。你要么把所有的密碼用小本本記下來,要么就是選擇某種軟件來管理它們,但不管是哪一種都很麻煩。
數字密碼的發明者 FernandoCorbató
在計算機還沒有被廣泛使用時,FernandoCorbató 就曾預言互聯網及信息安全系統將會遭到攻擊:「真正可怕的是,我們讓電腦變得極其容易使用,所以它將被越來越多地使用。」而他的這個觀點換在密碼上同樣適用,密碼是門檻極低的解決方案,所以它也會被人盯上。
Facebook 前些年的麻煩纏身其實就和密碼有不小的關系。當時安全專家 KrebsOnSecurity 揭露了 Facebook 使用明文純文本的形式,在內部平臺存儲了數以億計的用戶密碼。而且這些賬號密碼還可以被超過兩萬名 Facebook 員工搜索到。
互聯網公司的第一課應該是不要用明文存儲用戶的隱私信息,可惜這堂課很多學生都沒學好,Facebook、Twitter 在這個事情上都是「壞學生」。但就算互聯網公司沒有明文存儲你的密碼,你的密碼也并不安全。
Facebook 密碼登陸界面
皮魯安全之家曾經介紹過惡意軟件驅動能夠從全網范圍內的用戶 Web 瀏覽器及基于 Web 的登錄表單中竊取賬號密碼。只需要幾美金或等值的虛擬貨幣,「黑市買家」就能夠買到這些日志的訪問權。更進一步,犯罪分子只要花更多的錢就可以直接購買指定賬號的憑證信息。
更糟的是很多人密碼是復用的,一個密碼的丟失可能會讓多個賬戶同時陷入危險的境地。
將密碼設置的復雜一點能夠防止密碼被盜嗎?對于想要強行破解你密碼的黑客來說,復雜的密碼的確讓他們更難操作。但遺憾的是,或許是為了幫助自己記憶,或許是對自己設置的密碼已經有了感情,很多人的密碼設置都非常簡單——像紙糊的一樣,一捅就破。
你的密碼是 123456 嗎?
美國密碼管理應用公司 Splashdata 每年發布最弱密碼榜單已經成了他們的保留項目。每次榜單發出,你就會發現過去一年人們依舊在犯蠢。
從 2013 年開始,鐵打的「123456」和「password」就牢牢占據了最弱密碼榜的前兩位,有傳言說烏克蘭武裝部隊的「第聶伯羅」軍隊自動化控制系統的服務器密碼也是「123456」。
連軍用密碼都如此簡單,何況其他?Splashdata 表示,前 25 個最弱密碼中,有 10% 的人都在使用它們。這意味著你去街上找十個人,這 25 個最弱密碼幾乎都能登錄某一個人的賬戶。
「2018 年度最弱密碼」榜單 TOP 25
有的人為了避免這種容易被盜的簡單密碼,往往會把密碼設計的極為復雜(有的會選用系統的復雜密碼推薦),甚至每個服務密碼都不同。但沒什么用,因為自己要是忘了也只能找回,最終還得靠郵箱短信驗證碼。
簡單的不安全,復雜的記不住,不管簡單還是復雜都有可能被盜……這樣一看,密碼的缺點可不少。
沒了密碼,我們怎么登錄
想要消滅密碼的公司也不少。但所有有這個想法的公司都需要回答一個問題,沒了密碼應該怎么讓用戶登錄呢?
無密碼登錄
2012 年 7 月成立的行業協會 FIDO 的宗旨就是解決強制認證設備的交互性和用戶面臨大量復雜的用戶名和密碼的問題,微軟、蘋果、Google、Facebook 都是協會成員。FIDO 的執行董事 Andrew Shikiar 認為用戶早就習慣了設置密碼,想要改變用戶的行為習慣,減少他們對密碼的依賴是很難的。
因此 FIDO 的工作更多是向普通用戶科普無密碼體驗的好處,讓更多人接受無密碼更好的觀念。這有點像戒煙,密碼的方便就像香煙給人的愉悅,但它長期的健康風險應該被越來越多人所了解。FIDO 除了做科普,也會對新的無密碼技術提出建議,讓無密碼系統越來越標準化。
無密碼和二次驗證圖例
指紋、面部、聲音……這種生物識別方式也是理想的身份驗證「密碼」,因為它們基本能夠證明服務是你本人在使用。
指紋登錄可能是用戶最熟悉的生物識別方式,而面部驗證、聲音驗證也越來越常見于支付環節和登錄環節。據 This is Money 報道,巴克萊銀行、匯豐銀行、哈利法克斯銀行等多家英國銀行目前都支持聲紋識別,在英國有 300 多萬銀行客戶使用聲紋識別系統來登陸他們的銀行賬戶。而我們熟悉的微信也有聲音鎖登錄的選項,不過對聲音環境的要求更高。
再加上部分保密機構的瞳孔驗證,亞馬遜開始試行的刷臉支付,支持生物識別的場景也在增多。
圖片來自:This is Money
只是這種生物「密碼」一旦被盜后果更嚴重。畢竟你可以隨意更改你的數字密碼,但你的臉、指紋、聲音,這些都是無法改變的。一次被盜,終身憂慮。
使用常用設備輔助登錄、驗證也是常見的做法。越來越多的服務想要你用手機掃碼登錄,除了 提升手機應用活躍度外,可能還有一層安全的考慮。像 QQ、微信這樣的社交應用還增加了一個輔助驗證的環節,很大程度上也能保證賬戶安全性。
雙重驗證也是很好保護賬戶安全的做法。蘋果雙重認證就能為 Apple ID 提供多一層的額外安全保護,這個額外的認證方式讓其他人知道密碼也無法訪問你的賬戶,因為它還會在你的常用設備上顯示一個六位數的驗證碼。
蘋果設備的二次驗證
Authenticator app 則是不管什么設備都能夠使用的雙重驗證應用,二次驗證提供了更強的安全保障。就拿我們自己舉個例子,愛范兒沒用上 Google 身份驗證器之前,還會有作者賬戶被盜,連續盜發多篇文章。但在用上了 Authenticator 之后,這種情況就沒出現過了。
但即便目前已經有了不少的無密碼登錄方式,密碼還是沒那么容易消失。因為不少無密碼方案只能在較新的設備上使用,很多無密碼登錄系統還會要求用戶有兩臺以上的智能設備輔助驗證。在用戶智能設備持有情況和觀念都有較大差別的今天,想進入「無密碼時代」任重道遠。
但不管怎樣,微軟已經打響了第一槍,這是「無密碼時代」即將來臨的標志性事件。
