扫码打开虎嗅APP
谷歌最近铁了心要和密码过不去。
上周,谷歌刚公布在量子计算领域取得突破性进展,量子计算在密码破解上的巨大潜力,意味着现行加密技术将危在旦夕,本周,谷歌再放大招,宣布他们正在测试一项将要杀死密码的新功能……(谷歌你别闹,这世界已经够没安全感了好吗?)
不用密码登陆怎么玩?
其实没有那么玄乎……这项新功能就是让用户将自己的谷歌账号授权给手机,然后通过手机实现免密登陆。根据The Verge报道,一位刚刚受邀体验这项功能的安卓用户Rohit Paul在Reddit上披露了细节:用户通过在网页端登陆谷歌账号向手机发送短信,然后根据短信内容输入验证信息向手机授权,就和我们输入验证码登陆网银类似。
Rohit Paul体验截图 来源:The Verge
这样,以后用户无需密码就可以在手机上登陆谷歌账号,唯一的屏障就剩下手机本身的锁屏密码。这听起来超没安全感的有木有?但是,谷歌却说这样做才是为了保障用户账号的安全,这到底怎么说?
没有密码竟然更安全?
密码有时就像自行车上的那把锁,无论车被偷过多少次,你依然相信有锁比没锁安全得多。感觉会骗人,数据却不会。
《完美密码》(Perfect Password)的作者、安全研究人员Mark Burnett曾针对600万组用户名和密码做过分析,结果发现,有91%的用户使用了最常用的1,000个密码,有99.8%的用户使用了最常用的10,000个密码。其中,单单是直接将“password”用作密码的人就占到了4.7%。
但有人说,那又怎样,毕竟最常用的1,000个密码也是各不相同的。这就带来了第二个问题:年年岁岁,烂密码相似,岁岁年年,黑客在进步。破解神器Hashcat,每秒已经可以给出300,000种猜测。而同时越来越多的研究表明,人们设置密码的规律,其实比想象中简单,比如使用生日、姓名、常用词汇或键盘上的相邻按键组成密码。
1000万组密码中最常用的词汇及词群 图片来源:wpengine.com
黑客的另一招,就是利用钓鱼网站骗取用户的私密信息。最常见的手段就是用高度仿真的假冒登陆页面,引诱用户输入自己的账号信息。
所以,即使没有量子计算,现代加密技术也早已漏洞百出。绕了一大圈,再来看谷歌要杀死密码这件事,似乎有那么点道理了。至于将把关权利转移到用户的手机上,谷歌是这样考虑的:既然密码已经靠不住,不如让用户把“钥匙”握在手里。
当然,同意授权之前,用户必须先解锁手机,因为使用这项新功能的前提就是手机本身必须有加密措施。而如果监测到可疑登陆行为,谷歌也可能要求用户重新输入密码。另外,遇到手机没带、没电或丢失等情况,用户也依然可以通过密码登陆谷歌,然后进行解绑操作。
我们熟知的密码要进博物馆了?
其实,谷歌不是第一次想要改变登陆方式、提高用户账户安全了 ——前有生成登陆确认码的App Authenticator,后有提醒用户可能需要在第三方网站输入谷歌密码的Chrome扩展程序Password Alert;当然,谷歌也不是科技界唯一一家想要杀死密码的公司。
事实上,一批磨刀霍霍的公司早已为此成立了专门组织。2010年时,大约是有感于传统密码的不靠谱,PayPal信息安全部主管Michael Barrett、指纹识别安全专家Ramesh Kesanupalli以及SSL之父Taher Elgamal进行了一次三人会谈。两年后,三人创建了FIDO联盟,一个致力于使企业放弃使用传统密码的组织,资金将由那些认为自己可以从中获益的企业提供。自成立之日起,FIDO就在连接指纹识别设备等硬件及与之对接的在线服务上,做出了许多努力。包括谷歌、微软、美国银行、万事达在内,越来越多的企业开始加入进来。
不久前在10月份,雅虎也刚刚推出一项新服务“Yahoo Account Key”,允许用户只通过绑定的手机来验证身份(选择“Yes”或“No”)就可以登陆雅虎邮箱,而无需输入密码。
林林总总的“杀密码”手段大致都指向两种趋势:一是去数字,二是让手机来把关。前者解决的是传统加密方式在新技术面前的脆弱,后者则是迎合了手机日益成为钥匙一般贴身物品的现象。
嗯,其实废话连篇的我只得出了一个很爽的结论:以后再也不用记密码了。