在電影《人肉搜索》中,你可以看到線上世界的互聯互通和密碼保護系統的脆弱。
女兒失蹤,父親尋找。透過對女兒的了解猜中第一個應用程式密碼解鎖服務成為了尋人大戰的第一步,之後透過不同的密碼找回、驗證碼驗證,父親輕易就進入了女兒所在的網路世界。
在這過程中,密碼好像沒發揮什麼阻隔作用。畢竟在用戶自己也常忘記密碼的線上世界,服務提供商總是能給你提供了一個又一個密碼找回的選項,讓你能順利使用它們的產品。
既然用戶自己記不住密碼,破解密碼也並不難,為什麼我們還需要密碼的存在呢?微軟說不,我們不需要密碼——拜拜!
對於不用密碼這件事,微軟蓄謀已久。
2015年,微軟就在手提電腦中引入了臉部解鎖的技術。它還特意建立了一款應用程式——微軟驗證器(MicrosoftAuthenticator),讓用戶可以下載到手機中以不斷變化的代碼作為新密碼。
而在2018年,微軟Win 10S的作業系統會在用戶不更改默認設置的情況下去除密碼。如果用戶遵循系統推薦進行設置,那他們就不會看到設置密碼的選項。
終於,微軟在2021年覺得是時候了,「無密碼時代」也應該到來了。所以從9月15日開始,微軟允許用戶刪除微軟帳戶的密碼,使用微軟認證程序、指紋識別、臉部識別、Windows Hello、安全密鑰或簡訊∕電子郵件驗證碼登錄微軟帳號。
這意味著即便你不設置任何密碼,依然可以登入微軟帳戶,再也不需要把密碼寫在筆記本上了。
從引入新的登錄方式開始,再慢慢引導用戶使用非密碼方式登錄,最後直接進入無密碼時代。一步步地推進,終於不用密碼了。這一次連非微軟的粉絲也叫起了微軟——人類的希望。
這一切都是因為密碼實在太「討人厭」了。
微軟公司副總裁Vasu Jakkal就表示「由於帳號和密碼被盜,網路攻擊的數量增加了——作為防禦者,我們在這個不對稱的遊戲中還有很多工作要做。沒有密碼,你就得到了高級的安全保障,而且你的登入方式簡單得多。」
在2017年12月的官方部落格中,微軟還會把密碼稱為「早期計算機時期的老古董」,還承認它具備一定的阻攔犯罪能力。但在宣布進入「無密碼時代」後,微軟資訊安全長Bret Arsenault直接表示:
不是所有人都討厭密碼,依然會有一小部分人喜歡密碼,他們的名字是罪犯。
密碼怎麼成了眾矢之的?
等等,密碼真的有那麼糟嗎?我們早就習慣了密碼登錄的方式,還用了它很多年了,怎麼它突然就變成大公司想要消除的「罪犯利器」了呢?
事實上,密碼一開始確實很美好、很有用,它是人們使用網路服務時能接觸到的簡單又直接的解決方案。但那是你需要記住的密碼還不多的年代。隨著你使用的線上服務越來越多,你需要記住的密碼也越來越多,重複使用、遺忘,被盜之後導致一連串帳號的丟失讓密碼陷入了尷尬境地。
對於這種情況,數字密碼的發明人Fernando Corbató也認為密碼的形式存在著很大的問題。多年前在接受華爾街日報採訪時,87歲的Fernando Corbató就表示密碼已經成為「一種噩夢」。
不幸的是,隨著全球資訊網的發展,這已經變成了一場噩夢。我認為沒有人能記住所有已發布或設置的密碼。這就給人們留下了兩個選擇。要不就是把所有的密碼用小本本記下來,要不就是選擇某種軟體來管理它們,但不管是哪一種都很麻煩。
在計算機還沒有被廣泛使用時,Fernando Corbató就曾預言網路及訊息安全系統將會遭到攻擊:「真正可怕的是,我們讓電腦變得極其容易使用,所以它將被越來越多地使用。」而他的這個觀點換在密碼上同樣適用,密碼是門檻極低的解決方案,所以它也會被人盯上。
Facebook前些年的麻煩纏身其實就和密碼有不小的關係。當時安全專家Krebs On Security揭露了Facebook使用明文純文本的形式,在內部平台儲存了數以億計的用戶密碼。而且這些帳號密碼還可以被超過兩萬名Facebook員工搜索到。
網路公司的第一課應該是不要用明文儲存用戶的隱私訊息,可惜這堂課很多學生都沒學好,Facebook、Twitter在這個事情上都是「壞學生」。但就算網路公司沒有明文儲存你的密碼,你的密碼也並不安全。
皮魯安全之家曾經介紹過惡意軟體驅動能夠從全網範圍內的用戶Web瀏覽器及基於Web的登錄表單中竊取帳號密碼。只需要幾美金或等值的虛擬貨幣,「黑市買家」就能夠買到這些日誌的訪問權。更進一步,犯罪分子只要花更多的錢就可以直接購買指定帳號的憑證訊息。
更糟的是很多人密碼是重複使用的,一個密碼的丟失可能會讓多個帳號同時陷入危險的境地。
將密碼設置的複雜一點能夠防止密碼被盜嗎?對於想要強行破解你密碼的駭客來說,複雜的密碼的確讓他們更難操作。但遺憾的是,或許是為了幫助自己記憶,或許是對自己設置的密碼已經有了感情,很多人的密碼設置都非常簡單——像紙做的一樣,一戳就破。
美國密碼管理應用程式公司Splashdata每年發布最弱密碼榜單已經成了他們的保留項目。每次榜單發出,你就會發現過去一年人們依舊在犯蠢。
從2013年開始,鐵打的「123456」和「password」就牢牢佔據了最弱密碼榜的前兩位,有傳言說烏克蘭武裝部隊的「丹伯貝佐斯基」軍隊自動化控制系統的伺服器密碼也是「123456」。
連軍用密碼都如此簡單,何況其他?Splashdata表示,前25個最弱密碼中,有10%的人都在使用它們。這意味著你去街上找十個人,這25個最弱密碼幾乎都能登錄某一個人的帳戶。
有的人為了避免這種容易被盜的簡單密碼,往往會把密碼設計的極為複雜(有的會選用系統的複雜密碼推薦),甚至每個密碼都不同。但沒什麼用,因為自己要是忘了也只能找回,最終還得靠電子信箱簡訊驗證碼。
簡單的不安全,複雜的記不住,不管簡單還是複雜都有可能被盜……這樣一看,密碼的缺點可不少。
沒了密碼,我們怎麼登入?
想要消滅密碼的公司也不少。但所有有這個想法的公司都需要回答一個問題,沒了密碼應該怎麼讓用戶登入呢?
2012年7月成立的行業協會FIDO的宗旨就是解決強制認證設備的交互性和用戶面臨大量複雜的用戶名和密碼的問題,微軟、蘋果、Google、Facebook都是協會成員。FIDO的執行董事Andrew Shikiar認為用戶早就習慣了設置密碼,想要改變用戶的行為習慣,減少他們對密碼的依賴是很難的。
因此FIDO的工作更多是向普通用戶宣傳無密碼體驗的好處,讓更多人接受無密碼更好的觀念。這有點像戒菸,密碼的方便就像香煙給人的愉悅,但它部落格期的健康風險應該被越來越多人所了解。FIDO除了做科普,也會對新的無密碼技術提出建議,讓無密碼系統越來越標準化。
指紋、臉部、聲音……這種生物識別方式也是理想的身份驗證「密碼」,因為它們基本能夠證明服務是你本人在使用。
指紋登錄可能是用戶最熟悉的生物識別方式,而臉部驗證、聲音驗證也越來越常見於支付環節和登錄環節。據《This is Money》報導,巴克萊銀行、匯豐銀行、哈利法克斯銀行等多家英國銀行目前都支援聲紋識別,在英國有300多萬銀行客戶使用聲紋識別系統來登陸他們的銀行帳戶。而我們熟悉的微信也有聲音鎖登入的選項,不過對聲音環境的要求更高。
再加上部分保密機構的瞳孔驗證,亞馬遜開始試行的臉部辨識系統支付,支援生物識別的場景也在增加。
只是這種生物「密碼」一旦被盜後果更嚴重。畢竟你可以隨意更改你的數字密碼,但你的臉、指紋、聲音,這些都是無法改變的。一次被盜,終身憂慮。
使用常用設備輔助登錄、驗證也是常見的做法。越來越多的服務想要你用手機掃碼登錄,除了提升手機應用程式活躍度外,可能還有一層安全的考慮,很大程度上也能保證帳戶安全性。
雙重驗證也是很好保護帳戶安全的做法。蘋果雙重認證就能為Apple ID提供多一層的額外安全保護,這個額外的認證方式讓其他人知道密碼也無法訪問你的帳戶,因為它還會在你的常用設備上顯示一個六位數的驗證碼。
Authenticator app則是不管什麼設備都能夠使用的雙重驗證應用程式,二次驗證提供了更強的安全保障。但即便目前已經有了不少的無密碼登錄方式,密碼還是沒那麼容易消失。因為不少無密碼方案只能在較新的設備上使用,很多無密碼登錄系統還會要求用戶有兩台以上的智慧設備輔助驗證。在用戶智慧設備持有情況和觀念都有較大差別的今天,想進入「無密碼時代」任重道遠。
但不管怎樣,微軟已經打響了第一槍,這是「無密碼時代」即將來臨的標誌性事件。
本文授權轉仔自:愛范兒
【熱門焦點】
1.五倍券數位綁定開跑!如何在官網上數位綁定、加碼券怎麼領,三大方案一次看懂
2.UNIQLO Taipei全球旗艦店將開幕!要開花店、出東區粉圓T恤⋯全新明曜店亮點一次看
責任編輯:傅珮晴、蕭閔云
