何宝宏/文
早期计算机的设计,不会浪费珍贵的计算资源在身份验证等,这类意义不大的无聊事上。当需要验证用户身份时,不依靠计算机本身,而是依靠看门老大爷、机房值班员、计算机操作员或警卫人员等,因此都是“离机”的。
到了年代后,随着多用户和计算机分时系统等兴起,区分用户成了刚需,计算机开始设计和配置了身份验证功能。用户登录时有两步,一是输入用户名(ID),二是输入密码(Password),成“在机”的了。
后来互联网兴起,互联网的用户密码系统,继承和发展了计算机密码系统。
首先,计算机用户的工作环境是单机和相对封闭的,而互联网用户的工作环境是网络化和开放的。为了防止恶意人员,用机器通过网络自动嗅探用户密码,这时的密码系统增加了“验证码”一栏,用户需要输入的变成了三项,因为“在线“的原因。
输入“验证码”是为了识别,这次输入ID和密码的,是人类而不是机器。因此我们每天输入验证码,只是为了证明“我是人,我不是个东西”!而近年来随着AI技术的进步,验证码也基本已经破防了,人机很难区分了。
其次,计算机用户经常只需要管理一台计算机上的多种应用,而互联网用户要面对位于不同系统上的无数不同应用。年的一项调查,每个用户平均管理者个密码。另一项调查,每个互联网用户平均至少管理了5个密码。
“忘记密码”,已经是所有身份验证系统的“刚需”功能项了。为了不“忘记密码”,有三种典型做法:1)弱密码;2)登录所有平台或系统时,使用相同密码;3)写在线下的纸上。
既要用户要记住多套密码,又要用户是强密码,还要用户经常性更新密码,这是典型的“密码悖论”!普通用户的密码系统,很可能只满足了一条而不是三条要求!
数据显示,80%的网络攻击都是针对密码(微软),50%以上的老年用户最常咨询的问题是忘记账户密码(阿里,年),81%的公司数据泄露是由糟糕的密码协议引起的(TraceSecurity)
数据泄露和身份盗用,正在导致密码的终结。
《MIT科技评论》公布的“年全球十大突破性技术”,排在第一位的是“密码的终结”,认为新形式的身份验证,最终将让我们永远摆脱密码的方式。
其实,早在年,比尔盖茨公开就表示,“个人认为密码正在消失”。而Forrester公司副总裁MerrittMaxim说,密码是“互联网上的蟑螂”,令人讨厌和耐寒,但值得花时间去杀。
无需密码做身份验证,大致有以下特点:1)使用多重身份验证(MFA),即需要多个因素才能允许访问帐户。2)更安全的识别手段,如生物识别技术取代用户需要记忆的密码。3)建立在PKI密码学的概念之上。
常见的生物识别技术包括:指纹、声音、视网膜\角膜图案\手静脉图案、手印、面部遥测、身体热签名、书面签名和签名动态等个人特征。
基于PKI的身份验证系统,会有一对公钥和私钥。公钥会被发送到在线系统进行访问,而私钥保留在用户的设备上,并链接到唯一的生物识别身份验证因子。解锁私钥的唯一方法是使用生物识别技术,例如面部扫描,语音识别或指纹等。
密码的终结,需要基于密码学。
无密码的身份验证技术,已经被纳入大多数品牌的笔记本电脑中,微软、谷歌、Okta、Duo等公司也提供了新的身份认证方法。
而随着生物测定学技术、传感器技术和AI深度学习技术等的持续进步,已经用了几十年的密码系统,正在走向终结。
