微软使用了旧密码(记忆密码将成为过去式,微软说:请丢掉密码)
说起赛博朋克,人们总会想到霓虹闪烁的高楼和雨夜。在高科技机械化的帷幕下,人们却在忍受着与之不匹配的生活质量。这种“高科技,低生活”的荒谬,如果要在当代举个例子,可能是最好的选择。
回想一下你用过的互联网产品。几乎每个账户都对应一个密码。注册时要求密码足够长。其中一些必须包含大写和小写英文或特殊字符。这些限制很可能给用户的记忆带来困难。但如果设置非常简单,尤其是密码复用,就很难保证账号的安全性。美国密码管理应用公司Splashdata每年都会发布年度最弱密码排行榜。“123456”和“密码”牢牢占据第一和第二位,10%的人在使用最弱的前25位密码。
密码对用户不方便,也没有给平台带来任何好处。一般用户登录时很容易觉得麻烦,不仅仅是简单的输入错误,甚至个别平台输入密码后还需要多轮验证才允许登录。密码的处理也极其繁琐。像脸书和推特这样的公司用明文保存用户密码自然是极不负责任的,但即使不用明文保存,密码也不安全。微软表示,单一密码机制已经成为安全系统的软肋,每年仅因为这个原因就有多达180亿次相关攻击,平均每秒钟就有579次攻击。于是,平台陷入了两个极端:密码安全就不方便,方便就不一定安全。
既然用户经常忘记密码,输入密码极其麻烦,黑客有针对性地破解密码也不难,那么我们为什么还需要密码呢?所以微软说:不需要。
9月15日,微软宣布用户即日起可以删除所有密码,这也意味着微软的“无密码时代”正式到来。但是,删除密码并不意味着取消保护机制,而是将记住密码的方式改为“即时验证”。用户可以使用微软认证程序Microsoft Authenticator,或者通过指纹识别、面部识别、Windows Hello、安全密钥或短信/电子邮件验证码直接在电脑上登录微软账户。
熟悉微软的用户自然知道,如果仅仅依靠密码登录,几乎每一款微软产品的流程都是多么繁琐,而这样的繁琐对于企业等非常注重安全性的用户来说是有效却又无奈的。所以微软Authenticator自诞生以来,就一直肩负着“解密”的使命。2018年左右,微软开始推荐用户注册账号后使用Windows Hello进行身份验证。密码取消也是从这里开始的,但仅限于商业用途。今年,普通用户也被列入可以选择放弃密码的队列。正如微软副总裁瓦苏·杰克卡尔所说:“随着账号和密码被盗,网络攻击也在增加。作为安全的维护者,微软在这场不对称的博弈中确实有很多工作要做。不用设置密码,可以获得高级的安全性,使用起来会方便很多。”
当密码被删除后,如何验证就成了一个大问题。目前常见的生物认证是依靠指纹、声音、面部和瞳孔数据来验证身份。支付宝的刷脸支付就是一大体现。但是,生物识别也有缺陷。一旦有人的生物特征信息被破解,后果会更严重。你可以随意改密码,但是你的脸,指纹,声音等。很难改变。常见的辅助设备登录和双重认证登录也是常见的认证方式。前者常见于QQ和微信,后者常用于苹果和谷歌。这些方法将来可能会取消第一次认证密码,但是否方便,如何使其更方便,还需要进一步研究。
然而,虽然这些企业为“去密码化”做出了很多贡献,但距离普及还有很长的路要走。2012年成立的行业协会FIDO(Fast IDentity Online)就是为了减少用户在认证过程中对密码的依赖而成立的。微软、苹果、谷歌和脸书都是该协会的成员。FIDO的执行董事Andrew Shikiar认为,互联网用户早已习惯于设置密码,很难减少对密码的依赖。此外,用户对免密码需求的限制,免密码设备的要求也是无法尽快普及的重要因素。尽管如此,我们仍然看到“无密码时代”的第一枪已经打响。在交互和安全的平衡下,未来密码的使用范围会逐渐缩小,不用记密码的时代终将到来。