大部分生活在互聯(lián)網(wǎng)時(shí)代的人都會為“密碼”這件事感到頭疼。雖然人們幾乎注冊一個互聯(lián)網(wǎng)服務(wù)都需要填寫用戶名和密碼,但很多時(shí)候這個“密碼”起不到多大的保護(hù)作用——很多調(diào)查都發(fā)現(xiàn),人們最常用的密碼都非常簡單,比如“123456”這樣。
稍微注重網(wǎng)絡(luò)安全的人,會在注冊不同服務(wù)的時(shí)候采用不同的密碼,但這又會帶來一個麻煩,要記住那么多不同的密碼也是一件煩人的事情。為了解決密碼安全的問題,還有人做了1Password這樣的應(yīng)用來幫助人們管理密碼。但這也不是最終的解決方案。
要讓密碼絕對安全,最好的做法就是拋棄密碼,用一種全新的方式來登錄使用互聯(lián)網(wǎng)服務(wù)。
據(jù)The Next Web報(bào)道,互聯(lián)網(wǎng)標(biāo)準(zhǔn)的制定者W3C(萬維網(wǎng)聯(lián)盟)已經(jīng)成立了一個小組來制定一套新的互聯(lián)網(wǎng)身份驗(yàn)證機(jī)制。Google、微軟和PayPal曾在2015年提出過一套驗(yàn)證方法FIDO 2.0,這套系統(tǒng)會成為新的互聯(lián)網(wǎng)身份驗(yàn)證機(jī)制的框架。
簡單來說,F(xiàn)IDO希望利用你的手機(jī)來驗(yàn)證你身份。最易理解的場景就是,在你登錄一個網(wǎng)站的時(shí)候,網(wǎng)站會給你手機(jī)發(fā)送驗(yàn)證碼,你輸入驗(yàn)證碼進(jìn)行登錄,而不需要為該網(wǎng)站設(shè)定一個密碼。
現(xiàn)在已經(jīng)有部分服務(wù)放棄了讓用戶通過密碼登錄。美國的叫車服務(wù)Lyft就是其中之一,其登錄方式就是通過短信驗(yàn)證。
從便利性上來說,接受短信驗(yàn)證碼再登錄可能比直接使用密碼要花更多時(shí)間,但現(xiàn)在很多服務(wù)登錄之后就會一直使用,并不需要頻繁登錄。你上次輸入密碼登錄微信,可能還是換新手機(jī)的時(shí)候吧。
更何況,短信驗(yàn)證碼只是通過手機(jī)驗(yàn)證身份的一種方式,網(wǎng)頁版微信的掃描登錄也可以是其中一種。其他的驗(yàn)證方式還包括指紋、聲音等。
網(wǎng)頁版微信的掃碼登錄
從安全性上來說,拋棄密碼之后,就不會再有泄漏密碼的危險(xiǎn)。當(dāng)然,現(xiàn)在提議的驗(yàn)證方式非常依賴手機(jī),很大的風(fēng)險(xiǎn)都轉(zhuǎn)移到了手機(jī)上。從某種程度上來說,這把網(wǎng)絡(luò)風(fēng)險(xiǎn)轉(zhuǎn)移到了現(xiàn)實(shí)世界里——如果有人拿了你的手機(jī),登錄你的網(wǎng)頁版微信,這并不是微信不安全,而是你沒有看管好自己的手機(jī)。
FIDO也考慮到了這一點(diǎn),也設(shè)計(jì)了用戶手機(jī)丟失之后的防備措施。手機(jī)丟失后,你可以向驗(yàn)證機(jī)構(gòu)報(bào)告這臺手機(jī)不能用于任何登錄操作。但這個時(shí)候,驗(yàn)證“你是你”,以及“拿著你手機(jī)的人不是你”,可能會成為一個問題(如果是通過生物信息驗(yàn)證,如指紋,會相對簡單)。
現(xiàn)在距離基于FIDO的身份驗(yàn)證方法成為標(biāo)準(zhǔn)還有很長一段時(shí)間,拋棄密碼來驗(yàn)證用戶身份信息的方法也不會一夜之間普及。但總會有一些互聯(lián)網(wǎng)服務(wù)會先用上新的驗(yàn)證方法,有一些服務(wù)總是進(jìn)化的要慢一些。