密碼登錄這件事已經(jīng)由來已久，但隨著互聯(lián)網(wǎng)的發(fā)展，密碼也開始逐漸不受用戶待見了，尤其在個(gè)人密碼暴露了安全方面的風(fēng)險(xiǎn)之后。那么在未來，“輸入密碼”這件事兒，是否會被其他登錄形式所取代？

時(shí)至今日，「賬戶」連同「密碼」已經(jīng)關(guān)聯(lián)了我們太多的重要數(shù)據(jù)，但與此同時(shí)，世界上最多人使用的密碼又是什么？

2022 年，NordPass 在檢索 3TB 容量的全球密碼庫后發(fā)現(xiàn)是：password（密碼）。排在「password」后面的還有「123456」「123456789」「qwerty」這類大家喜聞樂見的密碼，而這些密碼早在十年前就已經(jīng)「流行」全球。

可想而知地球人是有多懶？十年都不帶換。

誠然，懶得花費(fèi)精力記憶或者琢磨一套個(gè)人的密碼系統(tǒng)是一方面，但另一方面也是一位因?yàn)槊艽a天然存在太多問題，很早就有人主張砍掉「用戶名-密碼」的安全體系，用「無密碼登錄」取而代之。

趕在今年的世界密碼日前，谷歌在官方博客發(fā)文宣布，此前在測試的 Passkey（通行密鑰）無密碼登錄功能將向所有用戶推出，用戶可以基于信任的設(shè)備直接完成生物驗(yàn)證，而不用輸入密碼。事實(shí)上不僅是谷歌，微軟甚至早在 2021 年 9 月宣布了無密碼登錄功能，還支持用戶在賬戶中完全刪除密碼，僅依靠生物識別進(jìn)行登錄，自然也就不存在密碼泄露的問題。

另外，作為全球最重要操作系統(tǒng)廠商，谷歌、微軟和蘋果還在去年的世界密碼日（5 月 5 日）聯(lián)合宣布，他們將致力于在未來一年，在其控制的所有移動(dòng)、桌面和瀏覽器平臺上打造無密碼登錄系統(tǒng)。

從互聯(lián)網(wǎng)早期一直流行到今天，好端端的密碼怎么就不受大家的待見了？

一、密碼泄露了，拿什么證明我是誰？

去年 6 月，大學(xué)生學(xué)習(xí)軟件「超星學(xué)習(xí)通」曝出了大規(guī)模被拖庫事件，1 億 7273 萬條用戶數(shù)據(jù)遭到泄露，包括姓名、手機(jī)號、性別、學(xué)校、學(xué)號、郵箱、密碼等信息。該消息隨后沖上微博熱搜，大量超星學(xué)習(xí)通用戶都反映收到了外地乃至境外的詐騙電話，還提到對方能準(zhǔn)確報(bào)出身份證號等關(guān)鍵信息。

事件發(fā)生后，不少高校也都接到教育網(wǎng)的相關(guān)通知，顯示不僅確認(rèn)超星學(xué)習(xí)通泄露了大量用戶數(shù)據(jù)，并涉及全國大量高校，應(yīng)急安全響應(yīng)為 A 級。同時(shí)通知還提醒老師和同學(xué)：

「如果您其他系統(tǒng)密碼與超星學(xué)習(xí)通密碼一致，請盡快修改為新密碼，嚴(yán)防撞庫對自己產(chǎn)生更大危害，謹(jǐn)防詐騙?！?/p>

與此同時(shí)，過去幾年全球不斷發(fā)生賬戶密碼泄露事件，根據(jù)網(wǎng)絡(luò)安全公司 SpyCloud 發(fā)布的 2023 年身份暴露報(bào)告，研究人員僅去年就在網(wǎng)上發(fā)現(xiàn)了 7.215 億個(gè)被泄露的密碼，其中一半來自僵尸網(wǎng)絡(luò)——被惡意軟件感染并被黑客控制的計(jì)算機(jī)網(wǎng)絡(luò)。

如果涉及微信、支付寶、銀行和電商平臺這類關(guān)鍵賬戶，不僅會極大地影響日常生活，也觸碰到了極為敏感的財(cái)產(chǎn)安全，一旦泄露可能引起無可挽回的損失。另一方面，用戶也要面對密碼泄露的成本，一部分賬號或許可以自助修改密碼，無非花費(fèi)一些可預(yù)計(jì)的時(shí)間，另一部分已經(jīng)被篡改的賬號，可能就需要用戶提供足夠的信息「證明你是你」。

本質(zhì)上密碼就是用來證明身份的工具，問題也恰恰于此——密碼說到底也只是一串文本。不管是撞庫、釣魚郵件還是僵尸網(wǎng)絡(luò)，作為身份證明工具的密碼都太容易泄露和盜用，密碼管理器和兩步驗(yàn)證可以完善對「密碼」的保護(hù)，但除了較高的學(xué)習(xí)和使用成本，并不能改變密碼容易被盜用和篡改的本質(zhì)。

二、個(gè)人密碼，從入門到放棄

賬號密碼幾乎是伴隨著早期互聯(lián)網(wǎng)而起，最典型的應(yīng)用就是郵箱，但對中國 90 年后生人來說，可能更多是在 QQ 上記住了第一個(gè)賬戶和密碼。而即便是在 QQ 興起的新千年初，隨著大量網(wǎng)站和軟件的涌現(xiàn)，互聯(lián)網(wǎng)用戶注冊了一個(gè)又一個(gè)賬戶，大部分人事實(shí)上只能記住少數(shù)的用戶名和密碼，很多時(shí)候都是重復(fù)使用同樣的密碼，或是用上「手寫密碼」這種笨方法。

但到后來，網(wǎng)絡(luò)安全的攻防戰(zhàn)越發(fā)激烈，再加之軟件應(yīng)用的大爆發(fā)也帶來了大量的賬號，于是也就有了 LastPass 等密碼管理器應(yīng)運(yùn)而生。通過記住一個(gè)密碼管理「所有賬戶的不同密碼」，密碼管理器在一定程度上確實(shí)解決了安全和便利的矛盾。

不過風(fēng)險(xiǎn)實(shí)際在轉(zhuǎn)移——一旦密碼管理器的密碼泄露，所有賬戶都將全數(shù)暴露。LastPass 作為用戶規(guī)模最大的密碼管理器之一，就多次遭遇了攻擊泄露事件，最近的一次發(fā)生在去年 8 月。即便是公認(rèn)更安全的 1Password 和 Bitwarden（開源），同樣也有可能發(fā)生數(shù)據(jù)泄露安全事故。

也是看到個(gè)人密碼在安全方面的風(fēng)險(xiǎn)，兩步驗(yàn)證開始逐漸流行，比如手機(jī)短信和郵箱驗(yàn)證碼或是基于時(shí)間的驗(yàn)證器密鑰（安全性更高）。然而更安全的驗(yàn)證器始終沒有流行開來，遠(yuǎn)比短信和郵箱驗(yàn)證碼來得小眾，使用成本上也確實(shí)更高，需要增加查看和復(fù)制一次性密鑰的步驟，還要考慮時(shí)間。

通行密鑰與密碼的區(qū)別，圖/蘋果

同樣從身份證明這個(gè)角度出發(fā)，微軟、谷歌和蘋果主推的通行密鑰，則將以往需要儲存在服務(wù)器端的登錄信息，替換為了非對稱加密技術(shù)中的口令。當(dāng)用戶為某個(gè)賬戶創(chuàng)建通行密鑰時(shí)，用戶設(shè)備上會生成一對公私密鑰，賬戶服務(wù)器只會獲取并存儲「公鑰」，攻擊者無法從服務(wù)器上的數(shù)據(jù)推導(dǎo)出存儲在用戶設(shè)備上，完成身份驗(yàn)證必需的「私鑰」。并且因?yàn)闆]有「密碼」，通行密鑰也不存在「密碼強(qiáng)度」「重復(fù)使用」等問題。

就像蘋果認(rèn)證體驗(yàn)團(tuán)隊(duì)的 Garrett Davidson 在去年 WWDC 上指出，有了通行密鑰，重復(fù)使用、撞庫、密碼泄露和網(wǎng)絡(luò)釣魚等問題，都不再可能。

而在使用上，通行密鑰與用戶可信賴的設(shè)備綁定，支持設(shè)備上的指紋識別、Face ID、Windows Hello 以及 PIN 認(rèn)證等。當(dāng)然，用戶也能將手機(jī)作為主要的驗(yàn)證設(shè)備，或者說「鑰匙」來登錄所有賬戶，不需要輸入任何東西，一次識別就能實(shí)現(xiàn)身份驗(yàn)證，大大簡化了過去兩步驗(yàn)證+密碼管理器+自動(dòng)填寫密碼的形式。同時(shí)基于 FIDO 協(xié)議，用戶可以使用 iPhone 上的通行密鑰，在運(yùn)行微軟 Windows 的設(shè)備上登錄谷歌 Chrome 瀏覽器。

憑借更安全的機(jī)制、更簡單的驗(yàn)證步驟，幾乎可以預(yù)見，通行密鑰將完全取代密碼。換句話說，可信賴的本地設(shè)備（比如手機(jī)）將在真正意義上成為我們不同網(wǎng)絡(luò)身份的萬能鑰匙，打開的是一個(gè)「無密碼」的世界。