何寶宏/文
早期計(jì)算機(jī)的設(shè)計(jì),不會(huì)浪費(fèi)珍貴的計(jì)算資源在身份驗(yàn)證等,這類意義不大的無聊事上。當(dāng)需要驗(yàn)證用戶身份時(shí),不依靠計(jì)算機(jī)本身,而是依靠看門老大爺、機(jī)房值班員、計(jì)算機(jī)操作員或警衛(wèi)人員等,因此都是“離機(jī)”的。
到了1960年代后,隨著多用戶和計(jì)算機(jī)分時(shí)系統(tǒng)等興起,區(qū)分用戶成了剛需,計(jì)算機(jī)開始設(shè)計(jì)和配置了身份驗(yàn)證功能。用戶登錄時(shí)有兩步,一是輸入用戶名(ID),二是輸入密碼(Password),成“在機(jī)”的了。
后來互聯(lián)網(wǎng)興起,互聯(lián)網(wǎng)的用戶密碼系統(tǒng),繼承和發(fā)展了計(jì)算機(jī)密碼系統(tǒng)。
首先,計(jì)算機(jī)用戶的工作環(huán)境是單機(jī)和相對(duì)封閉的,而互聯(lián)網(wǎng)用戶的工作環(huán)境是網(wǎng)絡(luò)化和開放的。為了防止惡意人員,用機(jī)器通過網(wǎng)絡(luò)自動(dòng)嗅探用戶密碼,這時(shí)的密碼系統(tǒng)增加了“驗(yàn)證碼”一欄,用戶需要輸入的變成了三項(xiàng),因?yàn)椤霸诰€“的原因。
輸入“驗(yàn)證碼”是為了識(shí)別,這次輸入ID和密碼的,是人類而不是機(jī)器。因此我們每天輸入驗(yàn)證碼,只是為了證明“我是人,我不是個(gè)東西”!而近年來隨著AI技術(shù)的進(jìn)步,驗(yàn)證碼也基本已經(jīng)破防了,人機(jī)很難區(qū)分了。
其次,計(jì)算機(jī)用戶經(jīng)常只需要管理一臺(tái)計(jì)算機(jī)上的多種應(yīng)用,而互聯(lián)網(wǎng)用戶要面對(duì)位于不同系統(tǒng)上的無數(shù)不同應(yīng)用。2020年的一項(xiàng)調(diào)查,每個(gè)用戶平均管理者100個(gè)密碼。另一項(xiàng)調(diào)查,每個(gè)互聯(lián)網(wǎng)用戶平均至少管理了5個(gè)密碼。
“忘記密碼”,已經(jīng)是所有身份驗(yàn)證系統(tǒng)的“剛需”功能項(xiàng)了。為了不“忘記密碼”,有三種典型做法:1)弱密碼;2)登錄所有平臺(tái)或系統(tǒng)時(shí),使用相同密碼;3)寫在線下的紙上。
既要用戶要記住多套密碼,又要用戶是強(qiáng)密碼,還要用戶經(jīng)常性更新密碼,這是典型的“密碼悖論”!普通用戶的密碼系統(tǒng),很可能只滿足了一條而不是三條要求!
數(shù)據(jù)顯示,80%的網(wǎng)絡(luò)攻擊都是針對(duì)密碼(微軟),50%以上的老年用戶最常咨詢的問題是忘記賬戶密碼(阿里,2018年),81%的公司數(shù)據(jù)泄露是由糟糕的密碼協(xié)議引起的(TraceSecurity)
數(shù)據(jù)泄露和身份盜用,正在導(dǎo)致密碼的終結(jié)。
《MIT科技評(píng)論》公布的“2022年全球十大突破性技術(shù)”,排在第一位的是“密碼的終結(jié)”,認(rèn)為新形式的身份驗(yàn)證,最終將讓我們永遠(yuǎn)擺脫密碼的方式。
其實(shí),早在2004年,比爾蓋茨公開就表示,“個(gè)人認(rèn)為密碼正在消失”。而Forrester 公司副總裁Merritt Maxim說,密碼是“互聯(lián)網(wǎng)上的蟑螂”,令人討厭和耐寒,但值得花時(shí)間去殺。
無需密碼做身份驗(yàn)證,大致有以下特點(diǎn):1)使用多重身份驗(yàn)證(MFA),即需要多個(gè)因素才能允許訪問帳戶。2)更安全的識(shí)別手段,如生物識(shí)別技術(shù)取代用戶需要記憶的密碼。3)建立在PKI密碼學(xué)的概念之上。
常見的生物識(shí)別技術(shù)包括:指紋、聲音、視網(wǎng)膜\角膜圖案\手靜脈圖案、手印、面部遙測(cè)、身體熱簽名、書面簽名和簽名動(dòng)態(tài)等個(gè)人特征。
基于PKI的身份驗(yàn)證系統(tǒng),會(huì)有一對(duì)公鑰和私鑰。公鑰會(huì)被發(fā)送到在線系統(tǒng)進(jìn)行訪問,而私鑰保留在用戶的設(shè)備上,并鏈接到唯一的生物識(shí)別身份驗(yàn)證因子。解鎖私鑰的唯一方法是使用生物識(shí)別技術(shù),例如面部掃描,語音識(shí)別或指紋等。
密碼的終結(jié),需要基于密碼學(xué)。
無密碼的身份驗(yàn)證技術(shù),已經(jīng)被納入大多數(shù)品牌的筆記本電腦中,微軟、谷歌、Okta、Duo等公司也提供了新的身份認(rèn)證方法。
而隨著生物測(cè)定學(xué)技術(shù)、傳感器技術(shù)和AI深度學(xué)習(xí)技術(shù)等的持續(xù)進(jìn)步,已經(jīng)用了幾十年的密碼系統(tǒng),正在走向終結(jié)。
京公網(wǎng)安備 11010802028547號(hào)