微软开启无密码时代,但面前还有两个拦路虎

对于密码这个相当古老的名词的来说,作为秘密这一概念的具象,围绕着密码,在战争年代无疑是刀光剑影的谍战,而在如今的互联网时代,则是黑客与网络安全人员的攻防战。并且伴随着互联网已经渗入我们生活的方方面面,密码可以说已经成为了每个人的必需品。

不过,你能想象一个完全没有密码的世界吗?日前微软方面宣布,所有用户现在已可以从其帐户中完全删除密码,并且同时还能提高安全性。微软副总裁Vasu Jakkal对此表示,“近年来,我们一直都在强调无密码机制的重要性。今天我在这里很高兴地向大家宣布,这项愿景终于有了实质性进展。从今天开始,您可以将你微软账户中的密码彻底删除。”

微软为什么要放弃密码呢?因为多年以来,创始人比尔·盖茨就一直认为密码是计算机安全链中的薄弱环节,他曾在RSA2006大会中发表演讲时指出,要让密码在三四年内开始“退休”。事实上,微软其实早在1999年就已经开始尝试取消密码,并在当年推出了微软Passport认证服务,但由于其存在着严重的缺陷,这一尝试在数年后只能被放弃。

在2007年上市的Windows Vista之中,一种名为InfoCard(信息卡片)的概念被微软方面引入,从而为用户提供了一个可有效管理登陆账号和密码的有效工具。从这一系列的举措来看,微软对于取消密码显然是早有“图谋”。但其实“干掉”密码并非微软一家这么想,PayPal首席信息安全官巴雷特早在2013年时就表示,“使用账户密码认证身份的方式将很快过去,未来将更多依靠软件和硬件的结合。”

在上世纪六十年代,麻省理工学院大型分时系统CTSS电脑成为了全球首个使用密码的电脑。自此,这种用简短、便于记忆的密码也开始逐渐被用于例如登录在线服务等用途,并且至今其仍然是最为常用的身份认证手段。但问题是,传统的密码早已落后于时代,无论它曾经有多么的好用,现在密码已经成为了网络安全领域最为薄弱的环节之一。

根据Verizon发布的《2020年数据泄露调查报告》显示,超过80%的数据泄露都是黑客利用被盗密码或弱密码导致。并且微软方面也曾公布过类似的数据,并且表示单纯的密码机制已经成为了安全系统的软肋,每年仅因为这一原因发生的相关攻击就多达 180亿次,约每秒579次。

而密码当前主要的问题,是人的记忆力是有限的,但伴随着互联网的发展,大家使用的互联网服务也已日趋繁杂,即便有以OpedID为代表,更加便捷的第三方登陆方式,但大量用户还是很难为自己不同的账号分别设计密码,这也导致尽管网络安全人员一再呼吁不要使用同样的密码,然而奈何大众压根就听不进去。

例如在美国密码管理应用公司Splashdata一年一度公布的“年度最差密码”榜单里,“123456”已经获得了七连冠。但究其原因,还不是因为这是非常易于记忆的组合。

再加上,最常规的“账号+密码”仅仅是最为基础的静态口令认证,密码一旦被设定后,除非用户主动更改,否则就将保持不变。这也就自然带来了显而易见的问题,当密码被黑客通过木马、撞库等方式盗取后,往往也会带来一连串的连锁反应。

所以目前一边是用户的密码趋向简单化,并且存在多个账号共用一个密码的情况,而另一边则是密码本身的关联甚多。例如在2015年时,许多游戏乃至微博、百度网盘用户一夜之间发现账号被盗,原因则是网易邮箱系统的数据库被黑客攻破,并利用所盗取的相关数据来实施“撞库”,也让大量使用网易游戏作为注册邮箱的用户遭殃。

作为传统密码的迭代产品,微软所谓的无密码并不是指其放弃了对于用户的身份认证,而是选择放弃密码这一种低效且不安全的工具,转而采用了更契合当下互联网世界的多因素认证模式。据悉,微软目前所使用的无密码机制依托于自家的手机应用Microsoft Authenticator,这也是属于多因素身份验证的一种。

微软这款APP允许用户在不输入密码的情况下,通过手机的双因素认证,以手机的指纹/脸部识别、或是设备PIN码作为代替,另外也支持生成一次性的验证码。其实这一解决方案并不复杂,就是让手机成为类似此前网银动态安全令牌,用WiFi、蓝牙、时间戳、手机设备等信息,来确保进行无密码登陆的就是账号的主人。

而手机之所以能够成为多因素认证机制最为核心的密钥,靠的其实是苹果、谷歌和微软均是在线快速身份认证(FIDO)联盟的成员。目前,iPhone、Android手机以及Windows 10均支持FIDO的“无密码强认证”协议,能够将认证方式与认证协议分离,并利用硬件设备内嵌的安全能力,也就是指纹识别、面部识别,对多设备多应用的不同身份认证方式提供同样的支持。

即便多因素认证加持下的无密码机制更安全,但是想要彻底“干掉”密码显然并不是一件很容易的事情。事实上推广无密码机制最大的阻碍并不在技术领域,而是在于如何说服用户改变使用习惯。君不见,双因素认证作为一个被苹果、谷歌、微软苦口婆心推广的登陆机制,直到今天都没有完全普及。

如今大量用户割舍不了密码,就是因为在过去的三十年间账号密码这一机制已经深入人心,而习惯的力量无疑非常强大。现实因素则是能被记住,甚至成为条件反射的密码,要比多因素认证机制更加便捷,别的不说,微软这一套无密码登陆,就需要依靠手机来实现,这就意味着在登陆电脑时,用户不是在键盘上直接输入密码,而是要先解锁手机、再通过Microsoft Authenticator来实现,这套流程的步骤显然并不少。

所以微软乃至其他厂商推广的无密码机制,其实还需要解决面前这两个最大的拦路虎。

【本文图片来自网络】
推荐阅读:

连地基都还没有打好的“元宇宙”,怎么就火了?

已经“火得发烫”的元宇宙,真的马上就会到来吗?

Windows 11的这一安全特性,或成为反作弊利器

Windows 11要求的TPM 2.0模组,似乎还有别的用途。

(0)

相关推荐