新聞 > 科教 > 正文

密碼就快要徹底消失了,沒有人懷念它!

我打開了一個叫「PasswordMonster」的網站,想測試一下地球人最常用的密碼有多(不)安全。

輸入「123456」,網站顯示這個密碼被暴力破解的時間是0秒。「88888888」則是0.01秒。

現在,你很容易就能找到類似「如何設置一個無法破解的密碼」的教程,多花心思就可以創建一個密碼,一個需要60億年才能被暴力破解的密碼。

但問題是,你很有可能記不住。不然為什麼很多人只要沒被系統提示密碼過於簡單,就一定會把自己的生日用作密碼。因為其他的,記不住。然後,你陷入「忘記密碼-重置密碼-忘記密碼」的循環。

哪怕我記得住60億年才能被破解的密碼,也抵擋不住資料庫泄露。比如,在「超星學習通」這樣的大規模數據泄漏事件中,用戶的帳號、密碼等個人信息,都可能被不法分子竊取、售賣甚至詐騙。

這種情況下,我創建再複雜的密碼也無濟於事,唯一能做的,也只有事後立馬修改密碼。

那如果網際網路乾脆不用密碼呢?我們是不是就可以不記密碼,也不怕數據泄漏?

密碼這個「老東西」,有不少問題

20世紀60年代,「口令」(Password)這一概念伴隨初代網際網路誕生,最初的理念是通過用戶定製化的密碼設計,讓使用者本身,成為這個安全系統中一道重要防線。

這套系統在之後四十多年間一直行之有效,甚至可以說:正是基於這套口令驗證系統,網際網路才得以有了用戶登錄的入口,才得以繁榮發展。

理論上,密碼對於抵禦常見的黑客破譯(通常是通過計算哈希值的方式)仍然行之有效。當你設置了一個非常複雜的密碼,即使黑客用的破譯設備是超級計算機,也要花上萬億世紀才能破解。

比如上圖中典型的隨機密碼,即使使用每秒100萬億次浮點運算能力的超級計算機,也需要8.47萬億世紀才能暴力破解

但進入21世紀,移動網際網路時代高速發展,大多數人都會擁有數百個需要設置密碼的網際網路帳戶,在多個平台使用相同的密碼幾乎變成無法避免的事。

更讓人害怕的是,存放這些帳戶信息的資料庫也有泄露風險,比如平台內部操作不當,或者是相關人員因一己私利,導致資料庫泄漏。接招數億用戶的真實信息在暗網被公開售賣。這類事情頻繁發生。

對信息已被泄漏的用戶來說,更致命的是,暴露一個平台的帳號密碼等信息,等同於暴露多個平台的信息,因為很多用戶在不同平台上使用的是同一密碼。

如今規模龐大的黑客組織,通常會用各種渠道收集已經泄漏的資料庫,並通過整合,描繪出一個人在網際網路中的各種足跡,然後歸檔到一起,搭建「社工庫」。你可能就在這個過程中,被大致推斷出你在其他平台的密碼。

舉例來講,如今絕大部分帳號都只需要一個郵箱/手機號碼,以及一個密碼(不少人會重複使用同一密碼)即可登錄,但如果這些信息已從資料庫中泄漏,黑客便可以按圖索驥,拼湊出你在其他平台的帳號密碼信息。如今,以上操作已經完全可以通過自動化操作(俗稱「撞庫」)來完成。

還有成本更低的騙局。不法分子會利用現有的泄漏信息,通過網絡釣魚,直接向真人騙取更多信息,最常見的是山寨登錄網站以及詐騙電話。即使你設置了由各種隨機數字、字母、符號組成的超高強度密碼,但在幾乎1:1復刻官方登錄頁面的詐騙網站面前,也很容易掉坑裡。

由此可見,現行的這套口令機制,很多時候反而成了信息泄漏的幫凶。

但我們卻很難將其完全歸咎於密碼系統。畢竟這是一個從20世紀80年代之後原理就基本定型的系統,當時的設計者大概料想不到40年後的今天,每個人都會有上百個網際網路帳號的「盛況」。

現有的密碼系統就像是一個早已不堪重負的老式蒸汽輪機,問題頻發,卻不得不繼續驅動著整個網際網路繼續航行。但業內也開始意識到這些歷史遺留問題,他們打算直接另起爐灶,打造一套可以完全取代密碼的驗證機制。

FIDO,「無密碼」的關鍵

蘋果在今年的 WWDC大會上,介紹了一個無需用戶手打繁瑣密碼的新功能——「通行密鑰」(Passkeys)。有了它,用戶不用再輸入密碼,直接使用 Face ID/ Touch ID(面部識別/指紋識別)等方式,授權使用「通行密鑰」,這時候用戶在本地就生成了一個私鑰。與此同時,平台伺服器端也保留著一個用於驗證的公鑰,一旦這兩者匹配,就能實現無密碼登錄。用戶在這個過程中,只需要通過生物特徵識別。

蘋果向開發者介紹「通行密鑰」丨Apple

無獨有偶,谷歌在今年的 Google I/O大會上,也介紹了無密碼登錄技術:用戶在 Chrome瀏覽器中登入網站時,可以在就近的手機端上收到用於登錄的驗證。同樣的技術未來也會被整合進電視、智能手錶,甚至汽車等智能平台。

谷歌也在推廣無密碼登錄技術丨Google

支持以上這些體驗的底層技術,都來自一個致力於推動「無密碼」進程的組織——FIDO聯盟。FIDO制定了相關的技術標準,並推廣到了各大網際網路巨頭那裡。現在,FIDO的成員不僅包括蘋果、谷歌、微軟這些主流的作業系統廠商,也包括高通、博通這些晶片硬體供應商,以及 Paypal這樣的支付應用巨頭。

FIDO聯盟成員一覽丨FIDO

這些來自不同領域的成員,在同一套技術標準的框架下協力,或許將來能保證無密碼登錄體驗的一致性,甚至是用戶在不同設備/應用之間的互聯互通性。

比如像蘋果在 WWDC期間展示的那樣:iPhone用戶可以通過掃碼,在一台 Windows PC上,使用 Chrome瀏覽器登錄一個支持 FIDO技術的帳戶,這樣一個類似「微信掃碼登錄」的簡單操作,更像是蘋果、微軟、谷歌三大網際網路巨頭在無密碼領域努力的縮影。

有時候,實現一個類似「微信掃碼登錄」的簡單操作也挺費勁的|Apple

公鑰,配合私鑰

從用戶體驗來看,FIDO與現在的指紋/人臉識別驗證登錄並無太大區別,甚至與主流的密碼自動填寫服務也相差無幾。

最重要的區別被隱藏在了登錄頁面之下:FIDO技術並非是由系統生成一個隨機密碼,而是藉助「公鑰+私鑰」的驗證方式,在設備本地生成一個私鑰,同時帳號伺服器端保留公鑰。只有私鑰搭配公鑰進行登錄驗證時,才能完成。

按個指紋就行了丨Apple

對於那些用戶無法輕易辨認的釣魚網站,已經在註冊中使用了 FIDO技術的帳號,檢測到本地的私鑰無法與正確的網頁公鑰匹配,也就不會傳輸任何信息,這樣就從根源上避免了各種高仿登錄頁面的詐騙攻擊,以及資料庫泄露帶來的風險。

當網頁檢測到設備上已經存儲了對應的私鑰後,由於已經執行過對應的生物驗證,伺服器端便無需再次判斷是來自真實用戶的訪問,還是惡意的機器人攻擊,當然也就不必再加入重複的驗證步驟。比如各種繁雜的驗證碼輸入,以及各種「證明自己不是機器人」的 CAPTCHA人機驗證。

類似這種讓人懷疑自己是不是人類的人機驗證,應該再也用不上了|網絡

此外,當用戶切換設備,或想在其他用戶的設備上登錄自己的帳號時,蘋果的通行密鑰同樣可以藉助數據備份或二維碼等方式,轉移本地私鑰以及輔助驗證。需要強調的是,私鑰永遠是儲存在用戶的本地設備上。

離沒有密碼的未來,還有最後一步

仿佛是一夜之間,各大科技巨頭都在推進 FIDO無密碼技術,但 FIDO聯盟早在2012年就已成立,那時智慧型手機甚至還尚未普及,這個組織就開始研究更先進的認證方式了。

但消滅密碼並不簡單。目前我們熟悉的網際網路生態,可以說是根治於密碼驗證機制。密碼已經成為網際網路 DNA中的一部分。所以,FIDO聯盟即便拉攏了業內巨頭,在過去十年也只能循序漸進,一步步尋求突破。

在過去數年中,FIDO聯盟推行過三種不同的無密碼協議。其中,FIDO UAF於2014年被提出:用戶通過安裝生物驗證裝置,實現諸如直接識別指紋並完成支付等操作。

FIDO UAF丨FIDO

另一個叫「FIDO U2F」的技術,則是通過兩步驗證,來提供更多的安全加密方式,包括藍牙/ NFC物理密鑰、兩步驗證碼等方式實現。如今這同樣也已經是非常通用的驗證技術,我們日常生活幾乎每天都要收到的簡訊驗證碼,也屬於此類。

FIDO U2F丨FIDO

在上述兩個協議之後,真正開始推動完全無密碼時代的 FIDO2協議,於2015年誕生。這個協議也歷經了八年,直到2022年,才讓 FIDO成為取代密碼的時刻終於成熟,得以在 WWDC與 Google I/O這樣全球矚目的舞台上亮相。

FIDO2|FIDO

在 FIDO聯盟成立了十年之後的今天,網際網路歷史在無密碼領域的「第三階段」,才算是真正踏出最重要的一步。

蘋果已經宣布在今年九月發布的 iOS16、iPadOS16和 macOS13的正式版中,都將支持基於 FIDO技術而來的「通行密鑰」,而谷歌則是在2022年底之前,為自家的 Android、Chrome瀏覽器等平台加入支持。

微軟也已經發布聲明,計劃在「未來數月內」在 Windows系統中加入對 FIDO的支持。距離真正的實用,只有一步之遙了。

雖然 FIDO所展現出的無密碼未來很誘人,但這種新標準仍會有一些現實問題:最重要的仍是需要更多的帳號服務支持這一技術,這註定是一個循序漸進,逐漸替換的過程。

此外,在不同的作業系統/設備之間,如何讓用戶更加方便地同步本地私鑰等問題,也會影響到實際的推廣過程:包括 iPhone用戶將私鑰同步至 Windows PC或 Android手機(或者反過來同步),加上 Android第三方系統林立的現狀,用戶在實際使用中,可能會遇到遠比「在他人電腦上登錄自己帳號」更加複雜的需求。

取代密碼,是一個循序漸進,逐漸替換的過程丨站酷海洛

「消滅密碼」對普通的上網衝浪選手來講,最重要的當然還是:他們再也不用絞盡腦汁設置密碼,忘記之後被迫重置了。

責任編輯: 夏雨荷  來源:果殼 轉載請註明作者、出處並保持完整。

本文網址:https://tw.aboluowang.com/2022/0803/1784244.html