大部分生活在網際網路時代的人都會為“密碼”這件事感到頭疼。雖然人們幾乎註冊一個網際網路服務都需要填寫使用者名稱和密碼,但很多時候這個“密碼”起不到多大的保護作用——很多調查都發現,人們最常用的密碼都非常簡單,比如“123456”這樣。
稍微注重網路安全的人,會在註冊不同服務的時候採用不同的密碼,但這又會帶來一個麻煩,要記住那麼多不同的密碼也是一件煩人的事情。為了解決密碼安全的問題,還有人做了 1Password 這樣的應用來幫助人們管理密碼。但這也不是最終的解決方案。
要讓密碼絕對安全,最好的做法就是拋棄密碼,用一種全新的方式來登入使用網際網路服務。
據The Next Web報導,網際網路標準的制定者W3C(全球資訊網聯盟)已經成立了一個小組來制定一套新的網際網路身份驗證機制。Google、微軟和 PayPal 曾在2015年提出過一套驗證方法FIDO 2.0,這套系統會成為新的網際網路身份驗證機制的框架。
簡單來說,FIDO 希望利用你的手機來驗證你身份。最易理解的場景就是,在你登入一個網站的時候,網站會給你手機傳送驗證碼,你輸入驗證碼進行登入,而不需要為該網站設定一個密碼。
現在已經有部分服務放棄了讓使用者透過密碼登入。美國的叫車服務 Lyft 就是其中之一,其登入方式就是透過簡訊驗證。
從便利性上來說,接受簡訊驗證碼再登入可能比直接使用密碼要花更多時間,但現在很多服務登入之後就會一直使用,並不需要頻繁登入。你上次輸入密碼登入微信,可能還是換新手機的時候吧。
更何況,簡訊驗證碼只是透過手機驗證身份的一種方式,網頁版微信的掃描登入也可以是其中一種。其他的驗證方式還包括指紋、聲音等。
網頁版微信的掃碼登入
從安全性上來說,拋棄密碼之後,就不會再有洩漏密碼的危險。當然,現在提議的驗證方式非常依賴手機,很大的風險都轉移到了手機上。從某種程度上來說,這把網路風險轉移到了現實世界裡——如果有人拿了你的手機,登入你的網頁版微信,這並不是微信不安全,而是你沒有看管好自己的手機。
FIDO 也考慮到了這一點,也設計了使用者手機丟失之後的防備措施。手機丟失後,你可以向驗證機構報告這臺手機不能用於任何登入操作。但這個時候,驗證“你是你”,以及“拿著你手機的人不是你”,可能會成為一個問題(如果是透過生物資訊驗證,如指紋,會相對簡單)。
現在距離基於 FIDO 的身份驗證方法成為標準還有很長一段時間,拋棄密碼來驗證使用者身份資訊的方法也不會一夜之間普及。但總會有一些網際網路服務會先用上新的驗證方法,有一些服務總是進化的要慢一些。
延伸閱讀:
- [圖]2015年最糟糕密碼排行:“123456”位居榜首
- 2013年度最糟糕密碼排行榜:123456居首
- 設定需謹慎 網際網路最糟糕密碼TOP25公佈