沒(méi)有密碼的未來(lái)可不僅僅是采納標(biāo)準(zhǔn)和選擇身份驗(yàn)證方法就能達(dá)到的。

[[282977]]

未來(lái)世界將不再需要密碼：隨著無(wú)密碼標(biāo)準(zhǔn)進(jìn)一步牢固確立，無(wú)密碼身份驗(yàn)證方法數(shù)量與復(fù)雜度劇增，越來(lái)越多的人無(wú)可避免地得出了這一結(jié)論。而在我們即將進(jìn)入無(wú)密碼未來(lái)的時(shí)候，最好記得，無(wú)密碼世界可不僅僅是各種標(biāo)準(zhǔn)和身份驗(yàn)證方法。我們還需要考慮很多挑戰(zhàn)。比如說(shuō)，在不使用密碼的世界里，你如何證明憑證注冊(cè)的身份?如何恢復(fù)遺失的憑證?或許最重要的一個(gè)考慮是，怎么才能不重復(fù)制造某些導(dǎo)致密碼消亡的問(wèn)題就解決掉這些挑戰(zhàn)，比如用戶不便、幫助臺(tái)負(fù)擔(dān)和密碼重置相關(guān)開(kāi)銷。我們必須注意避免陷入用另一種同樣繁瑣的方法代替密碼重置的怪圈?，F(xiàn)在說(shuō)我們明確知道將會(huì)以有效方式解決所有這些問(wèn)題還為時(shí)過(guò)早。但卻是時(shí)候開(kāi)始探討了。

在無(wú)密碼世界中定義身份有何意義?

無(wú)密碼身份驗(yàn)證的主要挑戰(zhàn)是建立一個(gè)不依賴密碼的數(shù)字身份，用來(lái)證明用戶是其聲稱的人，并作為用戶在數(shù)字世界中身份的信任基礎(chǔ)，就好像現(xiàn)實(shí)世界中的護(hù)照或駕駛證。

當(dāng)然，目前已經(jīng)有身份驗(yàn)證方法無(wú)需用戶在驗(yàn)證時(shí)輸入密碼了——生物特征識(shí)別(如人臉識(shí)別和指紋 ID)、基于令牌的身份驗(yàn)證等等。但密碼仍被用作很多此類方法的底層身份驗(yàn)證方法。如果想要消除密碼，那用戶一開(kāi)始要靠什么安全方法證明身份來(lái)獲得該無(wú)密碼憑證呢?我們需繼續(xù)開(kāi)發(fā)新方法來(lái)建立最初的信任，授予用戶真正安全的無(wú)密碼憑證。

用戶需要恢復(fù)憑證時(shí)會(huì)發(fā)生什么狀況?

說(shuō)到當(dāng)今在用的生物特征識(shí)別、令牌和其他無(wú)密碼身份驗(yàn)證方法，我們常常忽略了密碼仍是用戶身份驗(yàn)證和憑證恢復(fù)的底層機(jī)制這一事實(shí)。手機(jī)丟了的時(shí)候，重新設(shè)置該手機(jī)所有相關(guān)應(yīng)用和賬戶的超先進(jìn)人臉識(shí)別生物特征憑證，竟然只需要一組用戶名和密碼，真是令人困惑和沮喪。這種情況下，只要掌握了用戶的用戶名和密碼，難道不是誰(shuí)都能用自己的臉重設(shè)生物特征識(shí)別憑證來(lái)訪問(wèn)該用戶賬戶了嗎?關(guān)鍵在于，當(dāng)今任一形式的強(qiáng)身份驗(yàn)證最終都只是密碼的一個(gè)外在表現(xiàn)，事實(shí)上并不比該方法底層的密碼更強(qiáng)或更安全。

我們認(rèn)為的 “無(wú)密碼” 其實(shí)并非真正的無(wú)密碼;這一系統(tǒng)仍根源于相當(dāng)容易盜取并用于冒充用戶的東西。若你忘了自己的用戶名和密碼，恢復(fù)機(jī)制也相當(dāng)容易破解，只要能查出你媽媽的娘家姓(你表兄弟開(kāi)設(shè)的 “隱私” 家庭歷史網(wǎng)站上就有)，或者找到你第一輛車的型號(hào)(你驕傲地發(fā)在社交媒體上的一張照片就行)。

面對(duì)現(xiàn)實(shí)：每個(gè)數(shù)字身份似乎都有一系列比該身份驗(yàn)證方法本身更弱的憑證恢復(fù)機(jī)制。帶人臉識(shí)別功能的手機(jī)丟了?沒(méi)問(wèn)題，輸入密碼照樣能解鎖。不記得密碼了?告訴我你媽媽的娘家姓，我們會(huì)給你重新設(shè)一個(gè)密碼的。遺失了硬件令牌?來(lái)，提供你的活動(dòng)目錄 (AD) 用戶名和密碼，我們會(huì)給你寄一個(gè)過(guò)去。如果無(wú)密碼世界中的身份驗(yàn)證要像人們想象中的那么安全，我們得逆向該模式，讓恢復(fù)機(jī)制比身份驗(yàn)證方法本身更安全?；蛟S將硬件令牌用作移動(dòng)驗(yàn)證器的恢復(fù)機(jī)制(手機(jī)丟了?用你的硬件令牌進(jìn)行身份驗(yàn)證。)主要挑戰(zhàn)可能是讓恢復(fù)機(jī)制在保持易用和實(shí)用的同時(shí)變得更安全。

此處的問(wèn)題圍繞一個(gè)主題：意識(shí)的重要性。假設(shè)無(wú)密碼標(biāo)準(zhǔn)和身份驗(yàn)證方法是我們創(chuàng)建無(wú)密碼世界所需的全部，這種想法是完全錯(cuò)誤的;無(wú)視即便在這些領(lǐng)域里大多數(shù)公司仍有很多工作要做的的事實(shí)，同樣是錯(cuò)誤的。想想已經(jīng)在帶領(lǐng)我們邁向無(wú)密碼世界的現(xiàn)有和新興解決方案就令人興奮激動(dòng)，但也有必要注意到需彌補(bǔ)的空白和需跨越的障礙。這種情況下，了解所面對(duì)的挑戰(zhàn)，思考如何解決，就成了邁向無(wú)密碼未來(lái)的第一步。

【本文是51CTO專欄作者“李少鵬”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過(guò)安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文