稍微注重网络安全的人,会在注册不同服务的时候采用不同的密码,但这又会带来一个麻烦,要记住那么多不同的密码也是一件烦人的事情。为了解决密码安全的问题,还有人做了 1Password 这样的应用来帮助人们管理密码。但这也不是最终的解决方案。
要让密码绝对安全,最好的做法就是抛弃密码,用一种全新的方式来登录使用互联网服务。
据 The Next Web 报道,互联网标准的制定者W3C(万维网联盟)已经成立了一个小组来制定一套新的互联网身份验证机制。Google、微软和 PayPal 曾在2015年提出过一套验证方法FIDO 2.0,这套系统会成为新的互联网身份验证机制的框架。
简单来说,FIDO 希望利用你的手机来验证你身份。最易理解的场景就是,在你登录一个网站的时候,网站会给你手机发送验证码,你输入验证码进行登录,而不需要为该网站设定一个密码。
现在已经有部分服务放弃了让用户通过密码登录。美国的叫车服务 Lyft 就是其中之一,其登录方式就是通过短信验证。
从便利性上来说,接受短信验证码再登录可能比直接使用密码要花更多时间,但现在很多服务登录之后就会一直使用,并不需要频繁登录。你上次输入密码登录微信,可能还是换新手机的时候吧。
更何况,短信验证码只是通过手机验证身份的一种方式,网页版微信的扫描登录也可以是其中一种。其他的验证方式还包括指纹、声音等。
网页版微信的扫码登录
从安全性上来说,抛弃密码之后,就不会再有泄漏密码的危险。当然,现在提议的验证方式非常依赖手机,很大的风险都转移到了手机上。从某种程度上来说,这把网络风险转移到了现实世界里——如果有人拿了你的手机,登录你的网页版微信,这并不是微信不安全,而是你没有看管好自己的手机。
FIDO 也考虑到了这一点,也设计了用户手机丢失之后的防备措施。手机丢失后,你可以向验证机构报告这台手机不能用于任何登录操作。但这个时候,验证“你是你”,以及“拿着你手机的人不是你”,可能会成为一个问题(如果是通过生物信息验证,如指纹,会相对简单)。
现在距离基于 FIDO 的身份验证方法成为标准还有很长一段时间,抛弃密码来验证用户身份信息的方法也不会一夜之间普及。但总会有一些互联网服务会先用上新的验证方法,有一些服务总是进化的要慢一些。