說起密碼，你會想起什么？

密碼太多，記不??？

圖省事所有網(wǎng)站用同一個密碼，一個泄露了，手忙腳亂地去改密碼？

網(wǎng)站被脫庫，數(shù)據(jù)庫信息泄露，密碼丟失？

這一切都的根本原因就是：服務(wù)器保存了我們的密碼（不管是明文的還是Hash過的）。

我們需要把自己記憶的密碼發(fā)給服務(wù)器做驗(yàn)證，這就給了攻擊者可乘之機(jī)。

那能不能別保存密碼了，換個方式，讓服務(wù)器保存我們的指紋、虹膜等信息，行不行？

萬萬不可，這樣雖然不用記憶各種密碼了，但攻擊者一旦獲得這些生物信息，那就可以假冒我們，真是可以為所欲為了。

并且本質(zhì)上它和保存密碼是一樣的，都是“和服務(wù)器共享了一個秘密”。

那就別和服務(wù)器共享秘密了吧！可是如果不共享，服務(wù)器怎么知道“你就是你”呢？服務(wù)器無法做身份驗(yàn)證(Authentication)了！

這個問題早在幾十年前就被迪菲和赫爾曼考慮過了，他們提出了非對稱的密鑰算法。

這種算法中每個人可以持有一對密鑰：public key （公鑰）和 private key (私鑰）。

只不過，迪菲和赫爾曼并沒有找到一個合適的算法來生成公鑰和私鑰， 一年后，麻省理工學(xué)院的三個教授基于大數(shù)的因數(shù)分解提出了RSA算法，才解決了這個問題。

利用非對稱這種漂亮的性質(zhì)，我們?yōu)樽约旱馁~號生成一對兒公鑰和私鑰。

私鑰自己保存，公鑰發(fā)給服務(wù)器保存，這樣就不用和它共享秘密了。

登錄的時候，服務(wù)器給我們發(fā)一段隨機(jī)消息，我們對它做簽名（即對消息做Hash ，然后用本地保存的私鑰加密），把簽名發(fā)給服務(wù)器，服務(wù)器用對應(yīng)的公鑰來驗(yàn)證簽名，如果簽名沒問題，就證明了這的確是一次合法的登錄。

私鑰非常重要，不能讓任何人知道，不能發(fā)給任何系統(tǒng)，最好是保存在本地的一個硬件中，通過指紋、面部識別、聲音、PIN等方式來訪問。 

這里引入了一個新的抽象層，認(rèn)證器，讓它和服務(wù)器打交道，我們只是用指紋等手段授權(quán)對私鑰的訪問。

計算機(jī)的任何問題都可以引入一個抽象層來解決，真是至理名言。

用這種方式，登錄將會變成這樣：

1.輸入用戶名

2.點(diǎn)擊登錄

3.生物識別（指紋等）

4.登錄成功

即使網(wǎng)站被脫庫，攻擊者拿到了公鑰，也沒法冒充你干壞事，因?yàn)楣€本來就是公開的。

他想獲得私鑰的途徑就是拿到認(rèn)證器（比如保存在手機(jī)中），但是想使用認(rèn)證器還需要你的指紋等生物信息，這對于茫?；ヂ?lián)網(wǎng)上兩個未曾謀面的人來說太難了。

說到這里，不由地再感慨一下，提出和實(shí)現(xiàn)非對稱密鑰的前輩們實(shí)在是太偉大了。

這種認(rèn)證方式不是我想出來的，是一個叫做FIDO（Fast IDentity Online)聯(lián)盟提出想法，并且制定了一系列FIDO協(xié)議。 

FIDO概念簡單，想真正實(shí)現(xiàn)是很難的。

我們用瀏覽器登錄網(wǎng)站的時候，網(wǎng)站系統(tǒng)得改造，支持FIDO協(xié)議。

瀏覽器也得支持FIDO協(xié)議，可以提示用戶用FIDO的方式注冊或者登錄。

瀏覽器還需要和認(rèn)證器進(jìn)行交互，用戶提供生物信息授權(quán)訪問認(rèn)證器，這就得需要硬件和操作系統(tǒng)出馬了。

如果筆記本和臺式機(jī)沒有指紋識別等設(shè)備，還得考慮和手機(jī)的聯(lián)動（例如讓手機(jī)掃個二維碼，然后使用手機(jī)端認(rèn)證器。）

這涉及到多方利益，是個生態(tài)系統(tǒng)，不是一家公司能搞定的，所以FIDO是個聯(lián)盟，包含了全世界的IT大佬。

在這些IT大佬中，有三位舉足輕重：

• Google :   Android + Chrome瀏覽器
• Apple ：iOS + Safari瀏覽器
• 微軟:  Windows + Edge瀏覽器 

這三位幾乎統(tǒng)治了操作系統(tǒng)和瀏覽器市場，沒有它們的參與，F(xiàn)IDO是玩不起來的。 

今年5月，Google , Apple和微軟宣布加大力度，推進(jìn)對FIDO通用無密碼登錄標(biāo)準(zhǔn)的支持，努力實(shí)現(xiàn)無縫、安全的無密碼登錄：

1.允許用戶在多個設(shè)備（甚至新設(shè)備）上自動訪問FIDO登錄憑證（私鑰），而不需要重新注冊戶

2. 在任何操作系統(tǒng)和瀏覽器上，當(dāng)用戶想用FIDO登錄網(wǎng)站的時候，手機(jī)都可以用來做驗(yàn)證。例如，蘋果手機(jī)可以幫助驗(yàn)證Edge瀏覽器上的FIDO登錄。

如果能做到這兩點(diǎn)，密碼就真的被干掉了。

當(dāng)然，新事物的發(fā)展不會那么一帆風(fēng)順的，尤其是牽扯到各方利益的情況下。

FIDO聯(lián)盟2012年就成立了，2014年發(fā)布FIDO UAF和U2F協(xié)議，2019年FIDO2協(xié)議中的WebAuthn被W3C接受為互聯(lián)網(wǎng)的標(biāo)準(zhǔn)。同年Microsoft Hello 通過FIDO2兼容認(rèn)證。

直到今年，三巨頭才宣布要加大對FIDO的支持，說一年后在各個平臺上提供無密碼功能。承諾能不能實(shí)現(xiàn)，我們只有拭目以待。

也許有一天，你突然發(fā)現(xiàn)，你用指紋識別就可以登錄網(wǎng)站了，到時候可以回過頭來看看這篇文章。 

最后留個小問題吧：如果保存私鑰的設(shè)備（例如手機(jī)）丟失了，該怎么辦？?