但到后来 , 网络安全的攻防战越发激烈 , 再加之软件应用的大爆发也带来了大量的账号 , 于是也就有了 LastPass 等密码管理器应运而生 。通过记住一个密码管理「所有账户的不同密码」 , 密码管理器在一定程度上确实解决了安全和便利的矛盾 。
不过风险实际在转移——一旦密码管理器的密码泄露 , 所有账户都将全数暴露 。LastPass 作为用户规模最大的密码管理器之一 , 就多次遭遇了攻击泄露事件 , 最近的一次发生在去年 8 月 。即便是公认更安全的 1Password 和 Bitwarden(开源) , 同样也有可能发生数据泄露安全事故 。
也是看到个人密码在安全方面的风险 , 两步验证开始逐渐流行 , 比如手机短信和邮箱验证码或是基于时间的验证器密钥(安全性更高) 。然而更安全的验证器始终没有流行开来 , 远比短信和邮箱验证码来得小众 , 使用成本上也确实更高 , 需要增加查看和复制一次性密钥的步骤 , 还要考虑时间 。
文章插图
通行密钥与密码的区别 , 图/苹果
同样从身份证明这个角度出发 , 微软、谷歌和苹果主推的通行密钥 , 则将以往需要储存在服务器端的登录信息 , 替换为了非对称加密技术中的口令 。当用户为某个账户创建通行密钥时 , 用户设备上会生成一对公私密钥 , 账户服务器只会获取并存储「公钥」 , 攻击者无法从服务器上的数据推导出存储在用户设备上 , 完成身份验证必需的「私钥」 。并且因为没有「密码」 , 通行密钥也不存在「密码强度」「重复使用」等问题 。
就像苹果认证体验团队的 Garrett Davidson 在去年 WWDC 上指出 , 有了通行密钥 , 重复使用、撞库、密码泄露和网络钓鱼等问题 , 都不再可能 。
而在使用上 , 通行密钥与用户可信赖的设备绑定 , 支持设备上的指纹识别、Face ID、windows Hello 以及 PIN 认证等 。当然 , 用户也能将手机作为主要的验证设备 , 或者说「钥匙」来登录所有账户 , 不需要输入任何东西 , 一次识别就能实现身份验证 , 大大简化了过去两步验证+密码管理器+自动填写密码的形式 。同时基于 FIDO 协议 , 用户可以使用 iphone 上的通行密钥 , 在运行微软 Windows 的设备上登录谷歌 Chrome 浏览器 。
凭借更安全的机制、更简单的验证步骤 , 几乎可以预见 , 通行密钥将完全取代密码 。换句话说 , 可信赖的本地设备(比如手机)将在真正意义上成为我们不同网络身份的万能钥匙 , 打开的是一个「无密码」的世界 。
【没密码账号更安全,谷歌没在开玩笑】
推荐阅读
- 怪不得手机wifi经常断网,原来是手机的2个设置没打开,涨知识了
- 白金汉宫|?不丹王后闪耀白金汉宫,没王冠头戴绒布发箍,冰山美人笑起来绝美
- 王力宏|46岁王力宏参加朋友婚礼,模样大变憔悴很多,与美女合影都没自信
- 世界冠军|万万没想到,27岁的郭麒麟,会以这种方式“翻车”
- 万玛才旦|李湘没去英国陪读,王诗龄放飞自我,化浓妆穿低胸装
- 魏大勋|魏大勋秦岚没分手!二人在雨中约会好浪漫,岚姐主动挽手小鸟依人
- 佘诗曼|47岁佘诗曼未婚独居:没有爱情,但有很多很多钱
- 朱珠|39岁朱珠,远没有你想的那么“简单”
- 小六|网红小六:账号被百人举报导致被封!网友:演技真好
- 郑恺|baby缺席《跑男》后,郑恺的真正实力,节目没他不行