大部分生活在互聯網時代的人都會為「密碼」這件事感到頭疼。雖然人們幾乎註冊一個互聯網服務都需要填寫用戶名和密碼,但很多時候這個「密碼」起不到多大的保護作用——很多調查都發現,人們最常用的密碼都非常簡單,比如「123456」這樣。
稍微注重網路安全的人,會在註冊不同服務的時候採用不同的密碼,但這又會帶來一個麻煩,要記住那麼多不同的密碼也是一件煩人的事情。為瞭解決密碼安全的問題,還有人做了 1Password 這樣的應用來幫助人們管理密碼。但這也不是最終的解決方案。
要讓密碼絕對安全,最好的做法就是拋棄密碼,用一種全新的方式來登錄使用互聯網服務。
據 The Next Web 報導,互聯網標準的制定者 W3C(萬維網聯盟)已經成立了一個小組來制定一套新的互聯網身份驗證機制。Google、微軟和 PayPal 曾在 2015 年提出過一套驗證方法 FIDO 2.0,這套系統會成為新的互聯網身份驗證機制的框架。
簡單來說,FIDO 希望利用你的手機來驗證你身份。最易理解的場景就是,在你登錄一個網站的時候,網站會給你手機發送驗證碼,你輸入驗證碼進行登錄,而不需要為該網站設定一個密碼。
現在已經有部分服務放棄了讓用戶通過密碼登錄。美國的叫車服務 Lyft 就是其中之一,其登錄方式就是通過短信驗證。
從便利性上來說,接受短信驗證碼再登錄可能比直接使用密碼要花更多時間,但現在很多服務登錄之後就會一直使用,並不需要頻繁登錄。你上次輸入密碼登錄微信,可能還是換新手機的時候吧。
更何況,短信驗證碼只是通過手機驗證身份的一種方式,網頁版微信的掃瞄登錄也可以是其中一種。其他的驗證方式還包括指紋、聲音等。
▲網頁版微信的掃碼登錄
從安全性上來說,拋棄密碼之後,就不會再有洩漏密碼的危險。當然,現在提議的驗證方式非常依賴手機,很大的風險都轉移到了手機上。從某種程度上來說,這把網路風險轉移到了現實世界裡——如果有人拿了你的手機,登錄你的網頁版微信,這並不是微信不安全,而是你沒有看管好自己的手機。
FIDO 也考慮到了這一點,也設計了用戶手機丟失之後的防備措施。手機丟失後,你可以向驗證機構報告這台手機不能用於任何登錄操作。但這個時候,驗證「你是你」,以及「拿著你手機的人不是你」,可能會成為一個問題(如果是通過生物信息驗證,如指紋,會相對簡單)。
現在距離基於 FIDO 的身份驗證方法成為標準還有很長一段時間,拋棄密碼來驗證用戶身份信息的方法也不會一夜之間普及。但總會有一些互聯網服務會先用上新的驗證方法,有一些服務總是進化的要慢一些。
