從文具盒到存折、銀行卡，密碼與現(xiàn)代生活如影隨形。到了數(shù)字時代，線上線下的生活服務(wù)無一不與賬號密碼綁定。一旦帳號密碼出了岔子，忘掉了或是被盜用了，我們的日常生活恐怕就會寸步難行。

近十年來，智能手機為廣大數(shù)字公民普及了生物識別技術(shù)，也為帶來了掃除密碼這一生之煩惱的辦法。隨著近日微軟、蘋果、谷歌的一份共同宣告，我們離“免密生活”似乎真的越來越近了。

三巨頭聯(lián)手，掃除密碼煩惱

5 月 5 日，蘋果、谷歌、微軟宣布，將拓展對由 FIDO 聯(lián)盟和萬維網(wǎng)聯(lián)盟（W3C）創(chuàng)建的免密碼登錄通用標(biāo)準(zhǔn)的支持，為各大網(wǎng)站和 App 為消費者提供統(tǒng)一、安全、便捷的免密登錄方式，支持各種設(shè)備與平臺。

三大平臺一同出招，基本可以輻射遍整個消費數(shù)碼領(lǐng)域。不久的將來，我們無論使用智能手機、平板電腦或是 PC，都可以在各大平臺享受如同指紋支付、人臉識別支付那樣方便快捷的體驗，忘卻密碼帶來的種種困擾。

方便之余，無密碼驗證對可靠性和數(shù)據(jù)安全有著很高的要求。這里就要講到要消滅密碼的 FIDO 聯(lián)盟。

FIDO 聯(lián)盟成立于 2012 年 7 月，致力于解決強制認證設(shè)備的交互性和用戶面臨大量復(fù)雜的用戶名和密碼的問題，其成員包括蘋果、谷歌、微軟、黑莓、PayPal、聯(lián)想等科技巨頭。FIDO 推行的無密碼標(biāo)準(zhǔn)依賴于設(shè)備的生物識別掃描儀或主 PIN 碼，在設(shè)備本地對用戶進行身份驗證，無需將數(shù)據(jù)傳輸?shù)骄W(wǎng)絡(luò)服務(wù)器進行驗證。

在最新公布的計劃中，F(xiàn)IDO 推出了兩項重要的新功能：

1、允許用戶在多臺設(shè)備、包括新設(shè)備上自動訪問 FIDO 登錄證書（或稱為“密鑰”），而不必重新注冊每個帳戶；

2、允許用戶在移動設(shè)備上使用 FIDO 認證，以通過附近的設(shè)備登錄 App 或網(wǎng)站，無論這些設(shè)備運行哪種 OS 平臺或瀏覽器。

第一項針對的是驗證流程“先有雞還是先有蛋”的矛盾問題，這廣泛存在于兩步驗證模式中，用戶需要在一個設(shè)備上預(yù)先注冊才能進一步使用。第二項提供了更好的通用性，是不同網(wǎng)絡(luò)平臺、App 之間驗證方式不互通的問題。

蘋果、谷歌和微軟平臺預(yù)計，這些新功能將在未來一年內(nèi)陸續(xù)實行。至于具體的免密方案何時能落地，聯(lián)盟還沒有具體的時間線。

密碼之罪

網(wǎng)絡(luò)服務(wù)還很單一的時候，我們需要使用的密碼不多，它是一個低門檻的、便于普及的身份驗證形式。在網(wǎng)絡(luò)服務(wù)不斷豐富之后，我們需要使用的密碼隨之增多，密碼的種種麻煩接踵而至。密碼多了容易遺忘，為了避免遺忘人們就會傾向于使用簡單密碼，或者復(fù)用密碼，最終導(dǎo)致一連串的安全問題。

安全機構(gòu) SplashData 的研究顯示，“123456”自 2013 年就開始霸榜最常用密碼的榜單，123456789、“password”（“密碼”的英文）、“qwerty”（美式鍵盤布局左上角字母）等等是榜單 TOP 5 的釘子戶。這些弱密碼通常不到 1 秒就能被攻破，卻還被廣泛使用，其安全隱患不可估量。

數(shù)字密碼的發(fā)明人、圖靈獎得主費南多·柯巴托（Fernando Corbató）就曾坦言，密碼如同當(dāng)代人的噩夢，沒有人能記住所有的密碼，要么選擇用小本本記著，要么用軟件管理，兩者都意味著莫大的麻煩。

柯巴托于 1961 年主導(dǎo)建立了第一個分時操作系統(tǒng) CTSS（相容分時系統(tǒng)），首次在電腦上使用了密碼作為系統(tǒng)保護。史上首次電腦密碼首次泄漏事件，也恰恰發(fā)生在這套系統(tǒng)上。因為一個軟件 bug，系統(tǒng)弄混了歡迎信息與主密碼，結(jié)果所有登錄系統(tǒng)的人都能看到 CTSS 的密碼列表。

此后數(shù)十年間，人們?yōu)榱颂岣呙艽a的安全性，不斷改進密碼的存儲方式。然而，這些方式?jīng)]有從根本上改變?nèi)藗冇洃浢艽a的方式，密碼的命門，也就從未被消除。

通往「無密碼時代」之路

既然要拋棄密碼，那么我們該以何種具體的方式，接替密碼的工作呢？

現(xiàn)階段我們主要有兩種方式，一是指紋、面部等生物信息，二是兩步驗證、輔助設(shè)備驗證，如 Apple ID 的雙重驗證。國內(nèi)廣受吐槽的手機掃碼、短信驗證碼，也是一種低學(xué)習(xí)成本的免密登錄實現(xiàn)形式。

微軟在清除密碼的道路上早早邁出了步伐。緊隨 Windows 10 在 2015 年的發(fā)布，微軟推出了基于生物識別技術(shù)的 Windows Hello 安全系統(tǒng)，可以通過指紋、虹膜掃描或面部識別，替代傳統(tǒng)密碼。微軟此后還發(fā)布了 Microsoft Authenticator 移動應(yīng)用，讓手機化身為登錄驗證工具。

2021 年 9 月 15 日，微軟宣布開啟無密碼時代，用戶若采用Microsoft Authenticator、Windows Hello 等方式，就可以完全刪除自己微軟賬戶中的密碼。

蘋果也在去年的 WWDC 2021 上邁出關(guān)鍵的一步，宣布了一種新的密碼認證功能，用戶可以使用基于 Face ID 和 Touch ID 的賬戶認證來代替密碼，其初步支持已在 iOS 15.4 中到來，預(yù)計在即將到來的 WWDC 2022 及 iPhone 14 系列上，我們能看到更具體的功能實施。

誠然，人們不可能輕易地切換到“無密碼時代”，這種簡單務(wù)實的驗證方式，仍然如 Windows XP 一樣植根于許多人的心中。但我們相信，隨著免密規(guī)范與機制逐漸完善、普及，那樣的時代終將會到來。

本文來自微信公眾號“ZEALER”（ID：zealertech），作者：ZEALER，36氪經(jīng)授權(quán)發(fā)布。