为什么口令不会死?

没人喜欢原始的身份验证方式。但新方法也有其自身的缺陷。

科幻小说中的某些预言未来应该会实现,比如喷气背包、飞行汽车、火星殖民地。但有些看起来更容易实现的目标,却不知为何总感觉一直处于“就在眼前”的状态。其中最诱人的一个就是口令的终结。好消息是,所有主流操作系统和浏览器基本上都支持无口令登录了。那不那么好的消息是什么呢?你仍然每天都在往好多个网站和服务里填口令,而且这种情况短期内不会改变。

毫无疑问,口令绝对是安全噩梦。创建和管理口令太烦人了,所以人们往往重用口令,或者选择很好猜的登录口令,或者两个习惯都有。黑客很乐意利用这一点。不同于口令,无口令登录方法验证的是与生俱来、难以偷走的属性,比如生物特征。没人猜得到你的指纹。

登录手机时你可能已经在用某个版本的无口令登录了,比如,扫脸登录或指纹登录。这些机制在手机本地运行,不需要供应商在服务器上存储大量用户口令或敏感生物特征资料来核对。现在某些情况下你还可以使用独立的物理令牌无线登录,用不着口令。无口令登录最终想要达到几乎任何登录都可以无口令执行。

谷歌身份与安全平台产品管理高级总监Mark Risher称:“所有构件块都达到了一定的成熟度,可以从早期采用这种技术的爱好者推广到主流用户。无口令登录方式拥有强大的平台支持,可跨所有主流提供商运行,而且也逐渐为用户所知了。之前,作为一个行业,我们甚至不知道怎么摆脱口令。如今,彻底摆脱口令还需要一些时间,但我们知道该怎么做了。”

6月底,微软Windows 11官宣更深入地集成无口令登录,尤其是采用生物特征或PIN码登录设备。与之类似,苹果也在几周前宣布,其新推出的iOS 15和macOS Monterey操作系统将开始在iCloud Keychain中引入名为Passkeys的新功能,朝着使用生物特征或设备PIN码登录更多服务又迈进了一步。而在5月,在努力使客户摆脱繁琐口令的同时,谷歌讨论了其推进安全口令管理的工作。

尽管业界努力让开发人员和用户都上车无口令世界,但仍存在两个主要挑战。其中一个挑战在于:虽然口令备受鄙视,但这些东西实在是太普遍、太常用了。人们过于熟悉口令,而要打破几十年来的习惯是非常难的。

Andrew Shikiar是专注安全身份验证的行业协会FIDO联盟的常务董事,他说“这就是个习得行为:一上来就先设个口令。于是,问题在于,我们依赖一个很不牢靠的基础。我们需要做的就是打破这种依赖。”

这是个很痛苦的解毒过程。FIDO任务组去年一直在研究用户体验,做出关于无口令技术本身及其普及方式的建议,试图让普通用户更加了解无口令技术带来的安全优势。FIDO表示,实现无口令标准的企业难以让用户实际使用这一功能,所以联盟发布了用户体验指南,旨在帮助规划和演示。上个月,Shikiar写道:“‘造出来就会有人用’这种想法是不够的。”

第二个挑战甚至更为棘手。即使万事俱备,很多无口令方案仍只能在较新的设备上运行,导致必须拥有智能手机和至少一个其他设备。在实践中,这是个应用面相当窄的用例。世界上许多人共用设备,而且无法频繁更新,或者即使有自己的手机,那也是功能机。

而且,即使无口令实现越来越标准化,账户恢复选项却不是这样。使用安全问题或PIN码作为备份选项的时候,你基本上还是在用口令,只不过是另一种形式的口令。所以,无口令方案其实是在朝着先验设备可以将新设备视为可信的方向发展。

谷歌的Risher称:“假设你把手机忘在出租车上了,但笔记本电脑还在你家里。买到新手机后你可以使用笔记本电脑验证手机,然后你就又满血复活了。而且,即使有人捡到了你遗失的手机,你的手机也依然受到本地设备锁的保护。我们不想把口令问题转移到账户恢复上来。”

这么做显然比在纸片上记录备份恢复密码要容易些,但又引发了为没有或无法拥有多台个人设备的人提供选择的问题。

随着无口令方案的普及,这些关于过渡的实际问题依然存在。口令管理器1Password天然希望延续口令一统天下的局面,表示乐于拥抱无口令身份验证当用尽用的局面。比如,在苹果的iOS和macOS上,你可以用TouchID或FaceID锁定你的1Password保险库,而不是输入你的主口令。

不过,锁定口令管理器的主口令和管理器中所存口令之间有些微妙的差别。口令保险库中存放的口令全都用于供也存储了口令副本的服务器进行身份验证。锁定口令保险库的主口令是你独有的秘密;1Password本身不会知晓。

1Password首席产品官Akshay Bhargava表示,这种区别使得无口令登录,至少当前形式的无口令登录,比其他登录形式更适合某些场景。不过,他也指出,一些长期以来关于口令替代方案的顾虑依然存在。比如说,由于确实传达了用户的独特生理存在,生物特征识别在很多方面都是身份验证的理想方式。但采用生物特征识别打开了特征数据被盗的问题,例如,如果你的指纹或人脸数据被攻击者盗取来冒充你,会发生什么?此外,你可以随心所欲地修改口令(口令作为身份验证器的最佳品质),但你的脸、手指、声音和心跳是不能改变的。

创建能够代替口令全部功能的无口令生态系统,尤其是不抛下数十亿没有智能手机或多台设备的人的无口令生态系统,还需要时间和更多实验。无口令世界中更难以与可信人员共享账户,将一切绑定到一台设备(比如你的手机)上也会更激励黑客入侵此设备。

直到口令完全消失之前,你仍需遵循老生常谈的口令安全规范,比如尽量使用独特的强口令、口令管理器(有很多不错的选择)和双因素身份验证。但如果有机会对某些敏感账户采用无口令策略,比如设置Windows 11的时候,不妨尝试一下。你可能会感到从未感受过的轻松。

标签: