何寶宏/文

早期計(jì)算機(jī)的設(shè)計(jì)，不會(huì)浪費(fèi)珍貴的計(jì)算資源在身份驗(yàn)證等，這類意義不大的無聊事上。當(dāng)需要驗(yàn)證用戶身份時(shí)，不依靠計(jì)算機(jī)本身，而是依靠看門老大爺、機(jī)房值班員、計(jì)算機(jī)操作員或警衛(wèi)人員等，因此都是“離機(jī)”的。

到了1960年代后，隨著多用戶和計(jì)算機(jī)分時(shí)系統(tǒng)等興起，區(qū)分用戶成了剛需，計(jì)算機(jī)開始設(shè)計(jì)和配置了身份驗(yàn)證功能。用戶登錄時(shí)有兩步，一是輸入用戶名(ID)，二是輸入密碼(Password)，成“在機(jī)”的了。

后來互聯(lián)網(wǎng)興起，互聯(lián)網(wǎng)的用戶密碼系統(tǒng)，繼承和發(fā)展了計(jì)算機(jī)密碼系統(tǒng)。

首先，計(jì)算機(jī)用戶的工作環(huán)境是單機(jī)和相對(duì)封閉的，而互聯(lián)網(wǎng)用戶的工作環(huán)境是網(wǎng)絡(luò)化和開放的。為了防止惡意人員，用機(jī)器通過網(wǎng)絡(luò)自動(dòng)嗅探用戶密碼，這時(shí)的密碼系統(tǒng)增加了“驗(yàn)證碼”一欄，用戶需要輸入的變成了三項(xiàng)，因?yàn)椤霸诰€“的原因。

輸入“驗(yàn)證碼”是為了識(shí)別，這次輸入ID和密碼的，是人類而不是機(jī)器。因此我們每天輸入驗(yàn)證碼，只是為了證明“我是人，我不是個(gè)東西”！而近年來隨著AI技術(shù)的進(jìn)步，驗(yàn)證碼也基本已經(jīng)破防了，人機(jī)很難區(qū)分了。

其次，計(jì)算機(jī)用戶經(jīng)常只需要管理一臺(tái)計(jì)算機(jī)上的多種應(yīng)用，而互聯(lián)網(wǎng)用戶要面對(duì)位于不同系統(tǒng)上的無數(shù)不同應(yīng)用。2020年的一項(xiàng)調(diào)查，每個(gè)用戶平均管理者100個(gè)密碼。另一項(xiàng)調(diào)查，每個(gè)互聯(lián)網(wǎng)用戶平均至少管理了5個(gè)密碼。

“忘記密碼”，已經(jīng)是所有身份驗(yàn)證系統(tǒng)的“剛需”功能項(xiàng)了。為了不“忘記密碼”，有三種典型做法：1）弱密碼；2）登錄所有平臺(tái)或系統(tǒng)時(shí)，使用相同密碼；3）寫在線下的紙上。

既要用戶要記住多套密碼，又要用戶是強(qiáng)密碼，還要用戶經(jīng)常性更新密碼，這是典型的“密碼悖論”！普通用戶的密碼系統(tǒng)，很可能只滿足了一條而不是三條要求！

數(shù)據(jù)顯示，80%的網(wǎng)絡(luò)攻擊都是針對(duì)密碼(微軟)，50%以上的老年用戶最常咨詢的問題是忘記賬戶密碼(阿里，2018年)，81%的公司數(shù)據(jù)泄露是由糟糕的密碼協(xié)議引起的(TraceSecurity)

數(shù)據(jù)泄露和身份盜用，正在導(dǎo)致密碼的終結(jié)。

《MIT科技評(píng)論》公布的“2022年全球十大突破性技術(shù)”，排在第一位的是“密碼的終結(jié)”，認(rèn)為新形式的身份驗(yàn)證，最終將讓我們永遠(yuǎn)擺脫密碼的方式。

其實(shí)，早在2004年，比爾蓋茨公開就表示，“個(gè)人認(rèn)為密碼正在消失”。而Forrester 公司副總裁Merritt Maxim說，密碼是“互聯(lián)網(wǎng)上的蟑螂”，令人討厭和耐寒，但值得花時(shí)間去殺。

無需密碼做身份驗(yàn)證，大致有以下特點(diǎn)：1）使用多重身份驗(yàn)證(MFA)，即需要多個(gè)因素才能允許訪問帳戶。2）更安全的識(shí)別手段，如生物識(shí)別技術(shù)取代用戶需要記憶的密碼。3）建立在PKI密碼學(xué)的概念之上。

常見的生物識(shí)別技術(shù)包括：指紋、聲音、視網(wǎng)膜\角膜圖案\手靜脈圖案、手印、面部遙測(cè)、身體熱簽名、書面簽名和簽名動(dòng)態(tài)等個(gè)人特征。

基于PKI的身份驗(yàn)證系統(tǒng)，會(huì)有一對(duì)公鑰和私鑰。公鑰會(huì)被發(fā)送到在線系統(tǒng)進(jìn)行訪問，而私鑰保留在用戶的設(shè)備上，并鏈接到唯一的生物識(shí)別身份驗(yàn)證因子。解鎖私鑰的唯一方法是使用生物識(shí)別技術(shù)，例如面部掃描，語音識(shí)別或指紋等。

密碼的終結(jié)，需要基于密碼學(xué)。

無密碼的身份驗(yàn)證技術(shù)，已經(jīng)被納入大多數(shù)品牌的筆記本電腦中，微軟、谷歌、Okta、Duo等公司也提供了新的身份認(rèn)證方法。

而隨著生物測(cè)定學(xué)技術(shù)、傳感器技術(shù)和AI深度學(xué)習(xí)技術(shù)等的持續(xù)進(jìn)步，已經(jīng)用了幾十年的密碼系統(tǒng)，正在走向終結(jié)。