時至今日，「賬戶」連同「密碼」已經(jīng)關(guān)聯(lián)了我們太多的重要數(shù)據(jù)，但與此同時，世界上最多人使用的密碼又是什么？

2022 年，NordPass 在檢索 3TB 容量的全球密碼庫后發(fā)現(xiàn)是：password（密碼）。排在「password」后面的還有「123456」「123456789」「qwerty」這類大家喜聞樂見的密碼，而這些密碼早在十年前就已經(jīng)「流行」全球。

可想而知地球人是有多懶？十年都不帶換。

誠然，懶得花費精力記憶或者琢磨一套個人的密碼系統(tǒng)是一方面，但另一方面也是一位因為密碼天然存在太多問題，很早就有人主張砍掉「用戶名-密碼」的安全體系，用「無密碼登錄」取而代之。

圖/Wikimedia Commons

趕在今年的世界密碼日前，谷歌在官方博客發(fā)文宣布，此前在測試的 Passkey（通行密鑰）無密碼登錄功能將向所有用戶推出，用戶可以基于信任的設(shè)備直接完成生物驗證，而不用輸入密碼。事實上不僅是谷歌，微軟甚至早在 2021 年 9 月宣布了無密碼登錄功能，還支持用戶在賬戶中完全刪除密碼，僅依靠生物識別進行登錄，自然也就不存在密碼泄露的問題。

另外，作為全球最重要操作系統(tǒng)廠商，谷歌、微軟和蘋果還在去年的世界密碼日（5 月 5 日）聯(lián)合宣布，他們將致力于在未來一年，在其控制的所有移動、桌面和瀏覽器平臺上打造無密碼登錄系統(tǒng)。

從互聯(lián)網(wǎng)早期一直流行到今天，好端端的密碼怎么就不受大家的待見了？

密碼泄露了，拿什么證明我是誰？

去年 6 月，大學生學習軟件「超星學習通」曝出了大規(guī)模被拖庫事件，1 億 7273 萬條用戶數(shù)據(jù)遭到泄露，包括姓名、手機號、性別、學校、學號、郵箱、密碼等信息。該消息隨后沖上微博熱搜，大量超星學習通用戶都反映收到了外地乃至境外的詐騙電話，還提到對方能準確報出身份證號等關(guān)鍵信息。

事件發(fā)生后，不少高校也都接到教育網(wǎng)的相關(guān)通知，顯示不僅確認超星學習通泄露了大量用戶數(shù)據(jù)，并涉及全國大量高校，應急安全響應為 A 級。同時通知還提醒老師和同學：

「如果您其他系統(tǒng)密碼與超星學習通密碼一致，請盡快修改為新密碼，嚴防撞庫對自己產(chǎn)生更大危害，謹防詐騙?！?br/>

與此同時，過去幾年全球不斷發(fā)生賬戶密碼泄露事件，根據(jù)網(wǎng)絡安全公司 SpyCloud 發(fā)布的 2023 年身份暴露報告，研究人員僅去年就在網(wǎng)上發(fā)現(xiàn)了 7.215 億個被泄露的密碼，其中一半來自僵尸網(wǎng)絡——被惡意軟件感染并被黑客控制的計算機網(wǎng)絡。

如果涉及微信、支付寶、銀行和電商平臺這類關(guān)鍵賬戶，不僅會極大地影響日常生活，也觸碰到了極為敏感的財產(chǎn)安全，一旦泄露可能引起無可挽回的損失。另一方面，用戶也要面對密碼泄露的成本，一部分賬號或許可以自助修改密碼，無非花費一些可預計的時間，另一部分已經(jīng)被篡改的賬號，可能就需要用戶提供足夠的信息「證明你是你」。

本質(zhì)上密碼就是用來證明身份的工具，問題也恰恰于此——密碼說到底也只是一串文本。不管是撞庫、釣魚郵件還是僵尸網(wǎng)絡，作為身份證明工具的密碼都太容易泄露和盜用，密碼管理器和兩步驗證可以完善對「密碼」的保護，但除了較高的學習和使用成本，并不能改變密碼容易被盜用和篡改的本質(zhì)。

個人密碼，從入門到放棄

圖/bilibili@-xuegao123-

賬號密碼幾乎是伴隨著早期互聯(lián)網(wǎng)而起，最典型的應用就是郵箱，但對中國 90 年后生人來說，可能更多是在 QQ 上記住了第一個賬戶和密碼。而即便是在 QQ 興起的新千年初，隨著大量網(wǎng)站和軟件的涌現(xiàn)，互聯(lián)網(wǎng)用戶注冊了一個又一個賬戶，大部分人事實上只能記住少數(shù)的用戶名和密碼，很多時候都是重復使用同樣的密碼，或是用上「手寫密碼」這種笨方法。

但到后來，網(wǎng)絡安全的攻防戰(zhàn)越發(fā)激烈，再加之軟件應用的大爆發(fā)也帶來了大量的賬號，于是也就有了 LastPass 等密碼管理器應運而生。通過記住一個密碼管理「所有賬戶的不同密碼」，密碼管理器在一定程度上確實解決了安全和便利的矛盾。

不過風險實際在轉(zhuǎn)移——一旦密碼管理器的密碼泄露，所有賬戶都將全數(shù)暴露。LastPass 作為用戶規(guī)模最大的密碼管理器之一，就多次遭遇了攻擊泄露事件，最近的一次發(fā)生在去年 8 月。即便是公認更安全的 1Password 和 Bitwarden（開源），同樣也有可能發(fā)生數(shù)據(jù)泄露安全。

也是看到個人密碼在安全方面的風險，兩步驗證開始逐漸流行，比如手機短信和郵箱驗證碼或是基于時間的驗證器密鑰（安全性更高）。然而更安全的驗證器始終沒有流行開來，遠比短信和郵箱驗證碼來得小眾，使用成本上也確實更高，需要增加查看和一次性密鑰的步驟，還要考慮時間。

通行密鑰與密碼的區(qū)別，圖/蘋果

同樣從身份證明這個角度出發(fā)，微軟、谷歌和蘋果主推的通行密鑰，則將以往需要儲存在服務器端的登錄信息，替換為了非對稱加密技術(shù)中的口令。當用戶為某個賬戶創(chuàng)建通行密鑰時，用戶設(shè)備上會生成一對公私密鑰，賬戶服務器只會獲取并存儲「公鑰」，攻擊者無法從服務器上的數(shù)據(jù)推導出存儲在用戶設(shè)備上，完成身份驗證必需的「私鑰」。并且因為沒有「密碼」，通行密鑰也不存在「密碼強度」「重復使用」等問題。

就像蘋果認證體驗團隊的 Garrett Davidson 在去年 WWDC 上指出，有了通行密鑰，重復使用、撞庫、密碼泄露和網(wǎng)絡釣魚等問題，都不再可能。

而在使用上，通行密鑰與用戶可信賴的設(shè)備綁定，支持設(shè)備上的指紋識別、Face ID、Windows Hello 以及 PIN 認證等。當然，用戶也能將手機作為主要的驗證設(shè)備，或者說「鑰匙」來登錄所有賬戶，不需要輸入任何東西，一次識別就能實現(xiàn)身份驗證，大大簡化了過去兩步驗證+密碼管理器+自動填寫密碼的形式。同時基于 FIDO 協(xié)議，用戶可以使用 iPhone 上的通行密鑰，在運行微軟 Windows 的設(shè)備上登錄谷歌 Chrome 瀏覽器。

憑借更安全的機制、更簡單的驗證步驟，幾乎可以預見，通行密鑰將完全取代密碼。換句話說，可信賴的本地設(shè)備（比如手機）將在真正意義上成為我們不同網(wǎng)絡身份的萬能鑰匙，打開的是一個「無密碼」的世界。

題圖來自Wikimedia Commons