從文具盒到存折、銀行卡，密碼與現(xiàn)代生活如影隨形。到了數(shù)字時(shí)代，線上線下的生活服務(wù)無一不與賬號(hào)密碼綁定。一旦帳號(hào)密碼出了岔子，忘掉了或是被盜用了，我們的日常生活恐怕就會(huì)寸步難行。

近十年來，智能手機(jī)為廣大數(shù)字公民普及了生物識(shí)別技術(shù)，也為帶來了掃除密碼這一生之煩惱的辦法。隨著近日微軟、蘋果、谷歌的一份共同宣告，我們離“免密生活”似乎真的越來越近了。

三巨頭聯(lián)手，掃除密碼煩惱

5 月 5 日，蘋果、谷歌、微軟宣布，將拓展對(duì)由 FIDO 聯(lián)盟和萬維網(wǎng)聯(lián)盟（W3C）創(chuàng)建的免密碼登錄通用標(biāo)準(zhǔn)的支持，為各大網(wǎng)站和 App 為消費(fèi)者提供統(tǒng)一、安全、便捷的免密登錄方式，支持各種設(shè)備與平臺(tái)。

三大平臺(tái)一同出招，基本可以輻射遍整個(gè)消費(fèi)數(shù)碼領(lǐng)域。不久的將來，我們無論使用智能手機(jī)、平板電腦或是 PC，都可以在各大平臺(tái)享受如同指紋支付、人臉識(shí)別支付那樣方便快捷的體驗(yàn)，忘卻密碼帶來的種種困擾。

方便之余，無密碼驗(yàn)證對(duì)可靠性和數(shù)據(jù)安全有著很高的要求。這里就要講到要消滅密碼的 FIDO 聯(lián)盟。

FIDO 聯(lián)盟成立于 2012 年 7 月，致力于解決強(qiáng)制認(rèn)證設(shè)備的交互性和用戶面臨大量復(fù)雜的用戶名和密碼的問題，其成員包括蘋果、谷歌、微軟、黑莓、PayPal、聯(lián)想等科技巨頭。FIDO 推行的無密碼標(biāo)準(zhǔn)依賴于設(shè)備的生物識(shí)別掃描儀或主 PIN 碼，在設(shè)備本地對(duì)用戶進(jìn)行身份驗(yàn)證，無需將數(shù)據(jù)傳輸?shù)骄W(wǎng)絡(luò)服務(wù)器進(jìn)行驗(yàn)證。

在最新公布的計(jì)劃中，F(xiàn)IDO 推出了兩項(xiàng)重要的新功能：

1、允許用戶在多臺(tái)設(shè)備、包括新設(shè)備上自動(dòng)訪問 FIDO 登錄證書（或稱為“密鑰”），而不必重新注冊(cè)每個(gè)帳戶；

2、允許用戶在移動(dòng)設(shè)備上使用 FIDO 認(rèn)證，以通過附近的設(shè)備登錄 App 或網(wǎng)站，無論這些設(shè)備運(yùn)行哪種 OS 平臺(tái)或?yàn)g覽器。

第一項(xiàng)針對(duì)的是驗(yàn)證流程“先有雞還是先有蛋”的矛盾問題，這廣泛存在于兩步驗(yàn)證模式中，用戶需要在一個(gè)設(shè)備上預(yù)先注冊(cè)才能進(jìn)一步使用。第二項(xiàng)提供了更好的通用性，是不同網(wǎng)絡(luò)平臺(tái)、App 之間驗(yàn)證方式不互通的問題。

蘋果、谷歌和微軟平臺(tái)預(yù)計(jì)，這些新功能將在未來一年內(nèi)陸續(xù)實(shí)行。至于具體的免密方案何時(shí)能落地，聯(lián)盟還沒有具體的時(shí)間線。

密碼之罪

網(wǎng)絡(luò)服務(wù)還很單一的時(shí)候，我們需要使用的密碼不多，它是一個(gè)低門檻的、便于普及的身份驗(yàn)證形式。在網(wǎng)絡(luò)服務(wù)不斷豐富之后，我們需要使用的密碼隨之增多，密碼的種種麻煩接踵而至。密碼多了容易遺忘，為了避免遺忘人們就會(huì)傾向于使用簡單密碼，或者復(fù)用密碼，最終導(dǎo)致一連串的安全問題。

安全機(jī)構(gòu) SplashData 的研究顯示，“123456”自 2013 年就開始霸榜最常用密碼的榜單，123456789、“password”（“密碼”的英文）、“qwerty”（美式鍵盤布局左上角字母）等等是榜單 TOP 5 的釘子戶。這些弱密碼通常不到 1 秒就能被攻破，卻還被廣泛使用，其安全隱患不可估量。

數(shù)字密碼的發(fā)明人、圖靈獎(jiǎng)得主費(fèi)南多·柯巴托（Fernando Corbató）就曾坦言，密碼如同當(dāng)代人的噩夢(mèng)，沒有人能記住所有的密碼，要么選擇用小本本記著，要么用軟件管理，兩者都意味著莫大的麻煩。

柯巴托于 1961 年主導(dǎo)建立了第一個(gè)分時(shí)操作系統(tǒng) CTSS（相容分時(shí)系統(tǒng)），首次在電腦上使用了密碼作為系統(tǒng)保護(hù)。史上首次電腦密碼首次泄漏事件，也恰恰發(fā)生在這套系統(tǒng)上。因?yàn)橐粋€(gè)軟件 bug，系統(tǒng)弄混了歡迎信息與主密碼，結(jié)果所有登錄系統(tǒng)的人都能看到 CTSS 的密碼列表。

此后數(shù)十年間，人們?yōu)榱颂岣呙艽a的安全性，不斷改進(jìn)密碼的存儲(chǔ)方式。然而，這些方式?jīng)]有從根本上改變?nèi)藗冇洃浢艽a的方式，密碼的命門，也就從未被消除。

通往「無密碼時(shí)代」之路

既然要拋棄密碼，那么我們?cè)撘院畏N具體的方式，接替密碼的工作呢？

現(xiàn)階段我們主要有兩種方式，一是指紋、面部等生物信息，二是兩步驗(yàn)證、輔助設(shè)備驗(yàn)證，如 Apple ID 的雙重驗(yàn)證。國內(nèi)廣受吐槽的手機(jī)掃碼、短信驗(yàn)證碼，也是一種低學(xué)習(xí)成本的免密登錄實(shí)現(xiàn)形式。

微軟在清除密碼的道路上早早邁出了步伐。緊隨 Windows 10 在 2015 年的發(fā)布，微軟推出了基于生物識(shí)別技術(shù)的 Windows Hello 安全系統(tǒng)，可以通過指紋、虹膜掃描或面部識(shí)別，替代傳統(tǒng)密碼。微軟此后還發(fā)布了 Microsoft Authenticator 移動(dòng)應(yīng)用，讓手機(jī)化身為登錄驗(yàn)證工具。

2021 年 9 月 15 日，微軟宣布開啟無密碼時(shí)代，用戶若采用Microsoft Authenticator、Windows Hello 等方式，就可以完全刪除自己微軟賬戶中的密碼。

蘋果也在去年的 WWDC 2021 上邁出關(guān)鍵的一步，宣布了一種新的密碼認(rèn)證功能，用戶可以使用基于 Face ID 和 Touch ID 的賬戶認(rèn)證來代替密碼，其初步支持已在 iOS 15.4 中到來，預(yù)計(jì)在即將到來的 WWDC 2022 及 iPhone 14 系列上，我們能看到更具體的功能實(shí)施。

誠然，人們不可能輕易地切換到“無密碼時(shí)代”，這種簡單務(wù)實(shí)的驗(yàn)證方式，仍然如 Windows XP 一樣植根于許多人的心中。但我們相信，隨著免密規(guī)范與機(jī)制逐漸完善、普及，那樣的時(shí)代終將會(huì)到來。

本文來自微信公眾號(hào)“ZEALER”（ID：zealertech），作者：ZEALER，36氪經(jīng)授權(quán)發(fā)布。