從微軟到 Google，人人都想消滅密碼

今天小編分享的科技經驗：從微軟到 Google，人人都想消滅密碼，歡迎閱讀。

如何不用密碼登錄賬号？Google 給出了它的解決方案，拿起手機、掃碼、成功登錄。不需要輸入密碼，也不需要二次認證。

操作簡單，卻更安全。

跟所有的密碼說拜拜

這個看似與微信掃碼類似的登錄方式，為什麼能讓我們告别密碼？

首先，Google Passkey 與微信掃碼底層原理完全不同，Google Passkey 遵循 W3C 協定，是完全離線、沒有伺服器參與的，掃碼只是它的一種登錄方式，在通過了認證的設備 / 浏覽器上，你也能使用指紋或者面容 ID 來登錄。

▲

在認證過的浏覽器中，可以通過指紋驗證登錄

其次，即使是掃碼，Google Passkey 也有所不同。掃碼解鎖只能通過 USB、NFC 以及藍牙傳輸密碼，也就是說，輸入密碼時你必須在設備附近，否則是無法進行驗證的。

▲

W3C 标準

▲

登錄時浏覽器會獲取藍牙權限

簡單總結一下：

Google Passkey 将密碼保存在本地，完全離線，沒有伺服器參與，不存在密碼被截獲的可能性；

設備輔助登錄時，必須要與登錄源在同一位置，杜絕了異地誤掃碼的可能性。

Google 表示，大多數人更容易保護好設備而不是保護好密碼，即使你的設備（手機 / 電腦）丢失了，也可以快速在賬号設定中撤銷授權。

不只是 Google，早在 2021 年，微軟就允許用戶删除微軟賬戶的密碼，僅使用指紋、人臉、Windows Hello、安全密鑰、微軟認證程式、短信甚至郵件驗證碼等形式登錄微軟賬戶。

陪伴我們進入計算機網絡時代的數字密碼，正在離我們遠去。

從讓密碼更復雜，到讓密碼不存在

輸入賬号和密碼、點擊确認、進入網站，這一司空見慣的互聯網登錄方式，不知不覺中多了幾步：輸入手機驗證碼、輸入二次驗證碼。這都是為了給你的密碼再上一層保險。

為密碼加密碼聽起來有些詭異，但随着我們使用的網絡服務越來越多，需要記憶的密碼也越來越多，為了降低記憶成本，密碼復用就成了大問題，一旦被盜，就會導致一串個人賬戶失去保障。為了保護用戶脆弱的重復密碼，驗證碼等形式也是不得已而為之。

數字密碼的發明人 FernandoCorbat ó 在接受采訪時表示，密碼已經成為「一種噩夢」。

不幸的是，随着萬維網的發展，這已經變成了一場噩夢。我認為沒有人能記住所有已發布或設定的密碼。這就給人們留下了兩個選擇。你要麼把所有的密碼用小本本記下來，要麼就是選擇某種軟體來管理它們，但不管是哪一種都很麻煩。

▲

數字密碼發明者 FernandoCorbat ó

在計算機還沒有被廣泛使用時，FernandoCorbat ó 就曾預言互聯網及信息安全系統将會遭到攻擊：「真正可怕的是，我們讓電腦變得極其容易使用，所以它将被越來越多地使用。」這一觀點換在密碼上同樣适用，密碼是門檻極低的解決方案，所以它也會被人盯上。

2016 年，雅虎發布聲明稱其被黑客駭入，導致 30 億用戶信息洩漏；2022 年密碼管理巨頭 LastPass 兩度遭遇黑客，雖然 Lastpass 表示沒有任何密碼被盜，但依然為用戶敲響了警鍾。

微軟首席信息安全官 Bret Arsenault 表示：不是所有人都讨厭密碼，依然會有一小部分人喜歡密碼，他們的名字是罪犯——雖然在 2017 年，微軟還說密碼具有一定的阻攔犯罪能力。

簡單的密碼不安全，復雜的密碼記不住，作為安全認證方式，密碼的缺點确實不少。

為了讓我們「記住」密碼，鑰匙串就是其中一個方法。當你在 iPhone 等設備上準備登錄賬号時，輸入法上方就會出現鑰匙串信息，通過指紋或者面容 ID，就能快速輸入賬号密碼。

但如果你的 iPhone 丢失，撿到的人又恰巧猜對了你的解鎖密碼，那鑰匙串裡的所有密碼都将成為擺設——如果 iPhone 沒有通過生物認證，就會用鎖屏密碼來解鎖鑰匙串。

所以我建議大家不要用 6 位數字密碼來鎖定手機，這是你所有密碼的最後防線。

只要密碼存在，就有被盜的風險。或許是大家終于意識到了這一點，雙重驗證、軟體驗證、本地驗證……保護密碼的終極方案呼之欲出：

要不，我們放棄密碼吧。

後密碼時代，Google 們任重道遠

現在已有的無密碼方案，都存在一些問題。

比如，知道鎖屏密碼，任何人都可以在你的 Mac 上登錄 Apple ID。

有鎖屏密碼，等同于擁有了鑰匙串中 Apple ID 的密碼，登錄時需要雙重驗證？沒關系，在浏覽器登錄賬号時，這台 Mac 就是驗證設備。

又比如，微軟的 Authenticator 作為一款雙重驗證 app 非常實用，登錄微軟賬号時，需要點擊手機上與提示相同的數字代碼才可無密碼登錄。

雖然避免了丢失設備時在同一台設備上發生一條龍信息竊取的情況，但被騙後異地登錄的風險依然存在。

▲

如遇騙局，這時你已經被騙了

Google Passkey 使用授權設備（手機）近距離掃碼才能登錄賬号的解鎖方式，在一定程度上解決了上面這兩個問題，但如果生物「密碼」被盜（當然，可能性很小），後果更加嚴重，畢竟你可以随意更改數字密碼，但臉、指紋、聲音都是無法改變的，一次被盜，終身憂慮。

另一方面，即使廠商們努力讓我們忘記密碼，但用戶對「無密碼」這件事并不夠買賬，密碼等于安全的觀念，早已在用戶心中根深蒂固。

2012 年 7 月成立的行業協會 FIDO，宗旨就是解決用戶面臨大量復雜用戶名和密碼的問題，微軟、蘋果、Google、Facebook 等都是協會成員。

其執行董事 Andrew Shikiar 認為用戶早就習慣了設定密碼，想要改變用戶的行為習慣，減少他們對密碼的依賴是很難的。

因此，FIDO 的工作更多是向普通用戶科普無密碼體驗的好處，讓更多人接受無密碼更好的觀念。這有點像戒煙，密碼的方便就像香煙給人的愉悅，但它長期的健康風險應該被越來越多人所了解。

FIDO 除了做科普，也會對新的無密碼技術提出建議，讓無密碼系統越來越标準化。

▲

無密碼和二次驗證圖例

如今，利用指紋、面部、聲音等生物識别的解鎖形式越來越多，設備輔助登錄、驗證的形式也司空見慣。

但即便目前已經有了不少的無密碼登錄方式，密碼還是沒那麼容易消失。老設備的更新、用戶觀念的改變、各大廠商的跟進，任重道遠的「無密碼」之路，還需 Google 們繼續努力。

點擊「在看」

是對我們最大的鼓勵