近期，苹果、微软、GitHub等公司都对密码登录做了优化升级，如苹果宣布自 iOS 17、iPadOS 17和macOS Sonoma开始，Apple ID用户将自动使用Passkey方式登录。人们普遍认为，与密码相比，密钥更易于使用且更安全，因为它们允许用户以使用指纹、面部扫描或屏幕锁定PIN等解锁设备的方式登录应用和网站。

登录账号，往往是开启互联网冲浪的第一步。从密码到密钥，你了解这其中的故事吗？

图源：pixabay

太简单易被盗太复杂记不住

20 世纪 60 年代，“口令”（Password）这一概念伴随初代互联网诞生，最初的理念是通过用户定制化的密码设计，让使用者本身，成为这个安全系统中一道重要防线。

进入 21 世纪，移动互联网高速发展，各种终端平台层出不穷，“账号密码”这种传统的登录方式也在一直沿用。然而，隐患依旧存在。

比如，复杂了容易忘记。

你是否有过这样的经历？挖空心思，好不容易创建了一个“安全”的密码，终于满足了“不少于8个字符、包括大写和小写字母、特殊符号”等一系列要求，却在下一次登录时，陷入了“忘记密码 - 重置密码 - 忘记密码”的循环......

比如，简单了容易被盗。

2023年，世界知名密码管理服务公司NordPass在评估了超过3TB的数据之后发布最新报告，确认了30个国家和地区最常用的200个密码。

报告中指出：“尽管网络安全意识不断增强，但旧习惯很难改掉。研究表明，人们仍然使用弱密码来保护他们的账户”。在前十榜单中，8个密码可以在不到1秒内完成破解。最常用的密码是“password”。

图源：IT之家

再比如，泄露账户的用主信息。

倘若一个平台的账号密码已经泄漏，黑客便可以按图索骥，拼凑出你在其他平台的账号密码信息。而这种操作已经完全可以通过自动化操作（俗称“撞库”）来完成。

此外，不法分子会利用现有的泄漏信息，通过网络钓鱼，直接向真人骗取更多信息，最常见的是山寨登录网站以及电话。即使你设置了由各种随机数字、字母、符号组成的超高强度密码，但在几乎1:1复刻官方登录页面的网站面前，也十分危险。

比尔·盖茨早在2004年便表示：“毫无疑问，随着时间的推移，人们对密码的依赖将越来越少。在不同的系统中，人们使用相同的密码并将其记录下来。事实上，它并不能保护任何你想保密的东西。”

现在，互联网平台在传统密码以外增添了其他验证方式，如短信、图片识别、OTP时间码等等。而传统密码也终于有了技术突破，形成了一套替代方案：密钥登陆。

图源：pixabay

告别记密码！“上手”“刷脸”轻松验证

通行密钥（Passkey）由万维网联合会（W3C）和 FIDO 联盟推广，是一种数字凭证。通过密钥，我们大脑无需再记录明文密码，而是替换为使用别的特征，比如指纹、人脸识别等，来用作网站或应用程序的身份验证方法。

与传统的身份验证方法相比，Passkey更加便捷，还可以抵御网络钓鱼等在线攻击，从设计上避免了机密的共享。这项基础设施，还能让互联网用户更容易、更安全地访问加密货币、DeFi、GameFi 和 NFT。

2022年，谷歌宣布为安卓和Chrome浏览器带来初步的 Passkey 通行密钥支持。2023年5月，它向所有用户推出了无密码登录服务。随着这一服务的推出，谷歌的用户现在可以直接使用 Passkey 而不是密码，用户所使用的生物识别数据也不会与谷歌或任何其他第三方共享，密钥只存在于用户设备上。这被认为标志着网络安全方面的一个重大转变。

图源：澎湃新闻

苹果在2023年6月同样宣布，自iOS 17、iPadOS 17和macOS Sonoma 开始，Apple ID 用户将自动使用Passkey方式登录。用户访问icloud、appleidle等网站之后，苹果将同样允许用户在其登录页面上使用Face ID或者Touch ID来替代密码。

图源：苹果官网

有机构调查了78款中国热门APP得出结果：在目前用户常用的APP中，大多具备“人脸识别”功能，多用于刷脸登录、身份认证；某些社交类APP在刷脸认证时，还能判断该使用者是否具有直播从业资格；而金融类APP则进一步提供刷脸支付、刷脸转账等功能。

图源：新京报

现在，Passkey已经成为了一个行业标准，各大科技企业都对其进行了投入，致力于构建无密码未来。如Windows设备、iPhone、OPPO和华为手机等均支持这种验证方案。PayPal、Shopify、CVS Health、Kayak和Hyatt等服务商也已经开始尝试密钥登录。

图源：微软官网

尽管Passkey非常省事，但仍然存在一定风险。如个人的人脸信息，可能在不知情的情况下被盗用滥用。

面对这类情况，各国也在积极行动应对相关的风险。如中国国家网信办近期发布了《人脸识别技术应用安全管理规定（试行）（征求意见稿）》，向社会公开征求意见，对滥用人脸识别技术作出限制性规定，为人脸识别技术应用筑起安全防线。

对于数据安全治理，中国科学院院士冯登国表示，应该在坚持自主可控安全可信的防护理念的基础上，紧扣国际数据安全技术的发展趋势，在进行创新的同时，充分借鉴国际的先进成果。加强数据安全法律法规研究制定，紧密结合产业和应用实际，自主掌控关键核心技术，给产品推出切实可行的安全解决方案和标准规范，为保障数据产业健康稳定发展保驾护航。

审核：张宁策划：李政葳撰文：穆子叶编辑：李飞光明网出品

综合｜中国青年报、光明网、澎湃新闻、IT之家、果壳、Twitter

更多信息欢迎关注光明网数字化频道

来源： 世界互联网大会