从微软到 Google，人人都想消灭密码

如何不用密码登录账号？Google 给出了它的解决方案，拿起手机、扫码、成功登录。不需要输入密码，也不需要二次认证。

操作简单，却更安全。

跟所有的密码说拜拜

这个看似与微信扫码类似的登录方式，为什么能让我们告别密码？

首先，Google Passkey 与微信扫码底层原理完全不同，Google Passkey 遵循 W3C 协议，是完全离线、没有服务器参与的，扫码只是它的一种登录方式，在通过了认证的设备/浏览器上，你也能使用指纹或者面容 ID 来登录。

▲ 在认证过的浏览器中，可以通过指纹验证登录

其次，即使是扫码，Google Passkey 也有所不同。扫码解锁只能通过 USB、NFC 以及蓝牙传输密码，也就是说，输入密码时你必须在设备附近，否则是无法进行验证的。

▲ W3C 标准

▲ 登录时浏览器会获取蓝牙权限

简单总结一下：

● Google Passkey 将密码保存在本地，完全离线，没有服务器参与，不存在密码被截获的可能性；
● 跨设备登录时，必须要与登录源在同一位置，杜绝了异地误扫码的可能性。

Google 表示，大多数人更容易保护好设备而不是保护好密码，即使你的设备（手机/电脑）丢失了，也可以快速在账号设置中撤销授权。

不只是 Google，早在 2021 年，微软就允许用户删除微软账户的密码，仅使用指纹、人脸、Windows Hello、安全密钥、微软认证程序、短信甚至邮件验证码等形式登录微软账户。

陪伴我们进入计算机网络时代的数字密码，正在离我们远去。

从让密码更复杂，到让密码不存在

输入账号和密码、点击确认、进入网站，这一司空见惯的互联网登录方式，不知不觉中多了几步：输入手机验证码、输入二次验证码。这都是为了给你的密码再上一层保险。

为密码加密码听起来有些诡异，但随着我们使用的网络服务越来越多，需要记忆的密码也越来越多，为了降低记忆成本，密码复用就成了大问题，一旦被盗，就会导致一串个人账户失去保障。为了保护用户脆弱的重复密码，验证码等形式也是不得已而为之。

数字密码的发明人 FernandoCorbató 在接受采访时表示，密码已经成为「一种噩梦」。

不幸的是，随着万维网的发展，这已经变成了一场噩梦。我认为没有人能记住所有已发布或设置的密码。这就给人们留下了两个选择。你要么把所有的密码用小本本记下来，要么就是选择某种软件来管理它们，但不管是哪一种都很麻烦。

▲ 数字密码发明者 FernandoCorbató

在计算机还没有被广泛使用时，FernandoCorbató 就曾预言互联网及信息安全系统将会遭到攻击：「真正可怕的是，我们让电脑变得极其容易使用，所以它将被越来越多地使用。」这一观点换在密码上同样适用，密码是门槛极低的解决方案，所以它也会被人盯上。

2016 年，雅虎发布声明称其被黑客骇入，导致 30 亿用户信息泄漏；2022 年密码管理巨头 LastPass 两度遭遇黑客，虽然 Lastpass 表示没有任何密码被盗，但依然为用户敲响了警钟。

微软首席信息安全官 Bret Arsenault 表示：不是所有人都讨厌密码，依然会有一小部分人喜欢密码，他们的名字是罪犯——虽然在 2017 年，微软还说密码具有一定的阻拦犯罪能力。

简单的密码不安全，复杂的密码记不住，作为安全认证方式，密码的缺点确实不少。

为了让我们「记住」密码，钥匙串就是其中一个方法。当你在 iPhone 等设备上准备登录账号时，输入法上方就会出现钥匙串信息，通过指纹或者面容 ID，就能快速输入账号密码。

但如果你的 iPhone 丢失，捡到的人又恰巧猜对了你的解锁密码，那钥匙串里的所有密码都将成为摆设——如果 iPhone 没有通过生物认证，就会用锁屏密码来解锁钥匙串。

所以我建议大家不要用 6 位数字密码来锁定手机，这是你所有密码的最后防线。

只要密码存在，就有被盗的风险。或许是大家终于意识到了这一点，双重验证、软件验证、本地验证……保护密码的终极方案呼之欲出：

要不，我们放弃密码吧。

后密码时代，Google 们任重道远

现在已有的无密码方案，都​存在一些问题。

比如，知道锁屏密码，任何人都可以在你的 Mac 上登录 Apple ID。

有锁屏密码，等同于拥有了钥匙串中 Apple ID 的密码，登录时需要双重验证？没关系，在浏览器登录账号时，这台 Mac 就是验证设备。

又比如，微软的 Authenticator 作为一款双重验证 app 非常实用，登录微软账号时，需要点击手机上与提示相同的数字代码才可无密码登录。

虽然避免了丢失设备时在同一台设备上发生一条龙丢失信息的情况，但被骗后异地登录的风险依然存在。

▲ 如遇骗局，这时你已经被骗了

Google Passkey 使用授权设备（手机）近距离扫码才能登录账号的解锁方式，在一定程度上解决了上面这两个问题，但如果生物「密码」被盗（当然，可能性很小），后果更加严重，毕竟你可以随意更改数字密码，但脸、指纹、声音都是无法改变的，一次被盗，终身忧虑。

另一方面，即使厂商们努力让我们忘记密码，但用户对「无密码」这件事并不够买账，密码等于安全的观念，早已在用户心中根深蒂固。

2012 年 7 月成立的行业协会 FIDO，宗旨就是解决用户面临大量复杂用户名和密码的问题，微软、苹果、Google、Facebook 等都是协会成员。

其执行董事 Andrew Shikiar 认为用户早就习惯了设置密码，想要改变用户的行为习惯，减少他们对密码的依赖是很难的。

因此，FIDO 的工作更多是向普通用户科普无密码体验的好处，让更多人接受无密码更好的观念。这有点像戒烟，密码的方便就像香烟给人的愉悦，但它长期的健康风险应该被越来越多人所了解。

FIDO 除了做科普，也会对新的无密码技术提出建议，让无密码系统越来越标准化。

▲ 无密码和二次验证图例

如今，利用指纹、面部、声音等生物识别的解锁形式越来越多，设备辅助登录、验证的形式也司空见惯。

但即便目前已经有了不少的无密码登录方式，密码还是没那么容易消失。老设备的更新、用户观念的改变、各大厂商的跟进，任重道远的「无密码」之路，还需 Google 们继续努力。

文章来源：爱范儿   作者：陆新宇