“密碼”在互聯網時代中,無疑是一個關乎每位網民虛擬資產的元素。而如何讓用戶更好的保護密碼,在過去的許多年裡同樣也是各大互聯網廠商在用戶服務層面的重要課題之一。在互聯網世界的刀光劍影裡,圍繞密碼的攻防從未停止。但遺憾的是,“從來只有千日防賊,沒有千日做賊”的道理,大規模密碼洩露事件依舊時有發生,用戶虛擬財產受損的案例也幾乎從未停止過。
畢竟再精巧的鎖也難免會被撬開,那麼如果沒有鎖呢?其實早在2019年8月,谷歌方面就曾宣佈Pixel系列機型的用戶“未來幾天內”將被允許使用指紋或屏幕鎖、而非密碼,來驗證網絡上的某些Google服務的身份。但這“未來幾天內”一等就是接近四年,直到今年的5月3日,谷歌才正式推出了Passkey功能,用戶可以用所持有的手機、電腦、平板等設備上已有的密碼(PIN碼、指紋、面部等),來代替谷歌賬號的密碼。
在用戶需要登錄谷歌賬號時,只需解鎖設備、無需再輸入密碼或進行二次驗證。簡單來說,Passkey就是用設備存儲的離線識別信息來完成賬號的驗證。其實不僅僅是谷歌,此前微軟就推出了類似的服務Authenticator,同樣可以實現生態內的“無密碼登錄”。
那麼,為何各大科技巨頭處心積慮的想要“消除”密碼呢?
原因其實很簡單,因為密碼作為安全手段,當下已經面臨失去效用的風險。無論互聯網廠商如何苦心孤詣地勸導用戶使用更復雜的密碼,比如要求密碼需要包含英文字母大小寫、數字、字符,但密碼被攻破的現象依舊層出不窮。這一點不僅僅是個人,就連大型企業也同樣無法免俗。例如此前一位黑客就用竊取到的密碼,攻破了美國輸油管道公司Colonial Pipeline的系統,並關閉了美國最大的燃料管道,最後以該公司向其支付了近500萬美元的“贖金”而告終。
此外,越來越複雜的密碼要求,還會導致用戶的“逆反心理”。對於密碼登錄這一類安全驗證方式而言,最能有效減少用戶阻力的方法是什麼?當然是設置一個更容易記住的密碼,甚至為多個賬號使用相同或相似的密碼。
諸如不少朋友為了追劇,會經常與朋友家人共享視頻網站的賬號密碼,也會與同事共享企業郵箱的密碼,以便訪問工作資源。但這樣做的結果,就是絕大多數人其實並沒有養成良好的密碼使用習慣。在密碼管理服務公司NordPass每年公佈的“全球200個最常用密碼榜單”中,“123456”這個密碼的榜首地位幾乎就堪稱是穩如泰山。
由於密碼本身越來越難堪大任,雙因素認證也成為了過去數年間諸多科技企業力推的新的防護手段,相信iOS用戶一定會隔三差五收到來自蘋果方面,督促開通多因素認證的提示。所謂多因素認證,就是要求用戶在登錄過程中除了提交密碼外,還要出示另一個身份認證因素,比如網易將軍令,以及在端遊時代和實體充值卡捆綁在一起的數字密保卡。
並且多因素認證的效果,也得到了實戰的檢驗。來自微軟的相關數據就顯示,雙因素認證可阻止99.9%的賬號接管攻擊(ATO)。不過多因素認證就與複雜的密碼一樣,都大幅度增加了用戶的使用成本,畢竟在登錄環節還需額外的硬件或接收驗證碼,本質上與記憶複雜的密碼幾乎是一回事。
所以這也就讓一切又回到了原點,而無密碼登錄就是業界提出的一個,既方便用戶使用又能確保安全的兩全其美之策。
無密碼的理念其實非常簡單,既然傳統的靜態密碼不好用,那麼使用安全性更高的驗證方式不就好了,諸如指紋、人臉等生物識別信息就成為了被選中的對象。而指紋識別、人臉識別更是目前在PC、移動設備上已經得到了廣泛應用的解決方案,相比於傳統的密碼,生物信息是直接對應到具體的人,所以準確性無疑也更勝一籌。
說到底,密碼其實就是一個證明“我是我”的工具,而要證明“我是我”並非只能依賴密碼,諸如指紋、虹膜等生物特質,以及U盾、安全令牌等實體設備,同樣也可以實現這一目的。雖然使用手機中存儲的指紋和人臉信息來代替密碼,在2019年或許還是一個頗具風險的大膽舉措,但到了2023年,安全性已經不再成為阻礙了。
如今在iOS、iPadOS端,iPhone和iPad的指紋與Face ID是存儲在芯片上的Secure Enclave區域,是一個與處理器之間有物理隔離的區域。而在Android陣營,現階段高通驍龍移動平臺也都加入了獨立的“SPU”單元,該單元有單獨的內核、閃存,以及電源管理,更別提在驍龍8 Gen1之後的旗艦平臺還標配了專用的安全信任管理引擎。
顯而易見,相比於近乎於紙糊的靜態密碼,使用步驟繁瑣的雙因素認證或是基於硬件技術進步的無密碼,才是更為現代化的解決方案。當然,谷歌、微軟等企業力推無密碼也不是沒有私心,因為無密碼並不等於不需要密碼,而是用更安全的方式代替了密碼,但用戶的身份認證總是需要一個憑證的,驗證用戶信息也是需要服務器資源的。所以他們的的打算就是收羅用戶的身份信息,並將身份認證渠道牢牢攥在手中。
既有了用戶信息、又有認證渠道後,賬號體系的核心自然也就具備,這時候賬號本身反而變得不再那麼重要了。想必大家對於許多APP上出現的“微信登錄”、“支付寶登錄”、“本機號碼一鍵登錄” 不會陌生,這些登錄方式的實現過程中同樣也不需要輸入密碼。例如使用“微信登錄”的APP在借用騰訊的安全體系後,代價就是微信的影響力不可避免的會滲透到自己的地盤中。
所以谷歌、微軟等企業打的也是這個主意,是在“為用戶好”的大旗下、行擴張自身影響力之實。無密碼模式雖然降低了客戶端的成本,卻將壓力轉移到了服務端,一旦企業存儲用戶信息的服務器被攻破,所造成的破壞離顯然將會更甚從前。毫無疑問,中小廠商的網絡安全水平必然不如大廠,所以無密碼也幾乎就成為了後者的專屬。
一旦無密碼概念在用戶層面得到廣泛的認可,未來大家只需要用微軟、谷歌、亞馬遜、蘋果的賬號就能暢通無阻地使用互聯網服務,而中小廠商在這個過程中或將會徹底失去建立屬於自己的賬號體系的能力。而這,無疑就是光明正大的陽謀。
發佈八個月後功能仍然缺失?數碼產品的認證窘境
這個問題,對於數碼產品來說其實並不鮮見。