可替代現(xiàn)有密碼的技術(shù)

曉野

生活在互聯(lián)網(wǎng)時(shí)代的我們，每天都會(huì)面臨一項(xiàng)重大的考驗(yàn)。這項(xiàng)考驗(yàn)無數(shù)次沖擊了我們對(duì)自己記憶力的信心，這個(gè)考驗(yàn)就是——記住密碼。除了不好記之外，密碼安全也是一個(gè)重要問題，我們的密碼可以通過窮舉、盜取信用證書、網(wǎng)絡(luò)釣魚等技術(shù)手段被他人獲得。

隨著近年來重大數(shù)據(jù)泄露事故的頻發(fā)，過去基于密碼的在線身份驗(yàn)證技術(shù)已經(jīng)難以維持互聯(lián)網(wǎng)經(jīng)濟(jì)的穩(wěn)定發(fā)展，安全界關(guān)于“密碼已死”的呼聲越來越高。

越來越多新的驗(yàn)證方式出現(xiàn)，逐步替代了密碼在一些場(chǎng)景中的應(yīng)用，最典型的例子就是蘋果公司推出的Touch ID指紋識(shí)別技術(shù)。Touch ID在用戶體驗(yàn)上是一次巨大的提升，也掀起一波指紋識(shí)別潮流。隨后，眾多手機(jī)廠商紛紛效仿，指紋識(shí)別儼然有成為手機(jī)標(biāo)配的趨勢(shì)。

此外，人臉識(shí)別（已成熟應(yīng)用在門禁、軟件等領(lǐng)域）、聲紋識(shí)別（信息、金融領(lǐng)域）也在快速發(fā)展。這些新的驗(yàn)證機(jī)制帶有極強(qiáng)的生物屬性，難以復(fù)制、驗(yàn)證方便，而基于密碼另一形態(tài)的數(shù)字證書也發(fā)展迅猛，在通訊、金融領(lǐng)域已廣泛應(yīng)用。

通過指紋、虹膜等人體固有生理特征，再結(jié)合計(jì)算機(jī)、光學(xué)、生物傳感器和生物統(tǒng)計(jì)學(xué)原理對(duì)個(gè)人身份進(jìn)行識(shí)別和判定，確實(shí)能夠?qū)⑷藗儚姆爆嵉拿艽a迷宮中解脫出來。在這樣的背景下，一個(gè)推動(dòng)去密碼化的強(qiáng)認(rèn)證協(xié)議標(biāo)準(zhǔn)組織FIDO聯(lián)盟應(yīng)運(yùn)而生。FIDO的目標(biāo)是創(chuàng)建一組新的協(xié)議，支持對(duì)Web應(yīng)用持續(xù)的、安全的、無需密碼的訪問（即所謂的非密碼強(qiáng)認(rèn)證）。

該聯(lián)盟認(rèn)為，指紋識(shí)別的功能不應(yīng)該僅是設(shè)備解鎖這么簡(jiǎn)單，它應(yīng)該讓服務(wù)、移動(dòng)支付甚至企業(yè)管理變得更為高效。他們將其終極目標(biāo)概括為4個(gè)字：“殺死”密碼。

FIDO 將用戶的密碼憑證儲(chǔ)存在某些設(shè)備中，用戶的密碼不會(huì)被發(fā)送出去，而是在設(shè)備內(nèi)部通過軟件來處理。企業(yè)如果要使用 FIDO 的認(rèn)證方式，只需要在服務(wù)器上安裝驗(yàn)證軟件，然后在客戶和員工的設(shè)備上安裝相應(yīng)的插件或應(yīng)用程序即可。一旦驗(yàn)證通過，軟件會(huì)將密鑰發(fā)送到登錄服務(wù)器，此過程中系統(tǒng)不會(huì)保存任何登錄信息。之后，登錄服務(wù)器會(huì)發(fā)送密鑰到用戶設(shè)備上，表示驗(yàn)證已經(jīng)通過。與目前的用戶名和密碼登錄模式相比，這種登錄方式很難被黑客破解。

FIDO標(biāo)準(zhǔn)支持任何一種認(rèn)證方法，可選用的手段包括生物特征識(shí)別、語音識(shí)別、臉部識(shí)別、USB 驗(yàn)證令牌、NFC 技術(shù)和一次性密碼等。不論是用傳統(tǒng)的硬件認(rèn)證，還是用生物辨識(shí)如指紋、虹膜、聲紋、臉部辨識(shí)，依照 FIDO 的標(biāo)準(zhǔn)，都能夠當(dāng)作身份識(shí)別認(rèn)證使用。

FIDO聯(lián)盟的成員越來越多，包括谷歌、黑莓、微軟、阿里巴巴等諸多世界知名的公司。他們遵循一個(gè)統(tǒng)一的技術(shù)和安全標(biāo)準(zhǔn)，隨之帶來的是雙贏的結(jié)果，比如指紋識(shí)別從一項(xiàng)技術(shù)落地到實(shí)際應(yīng)用場(chǎng)景中。

設(shè)備廠商在加入 FIDO 聯(lián)盟之后，可以在其設(shè)備中放置一顆安全芯片，保證用戶的賬號(hào)和信息安全。當(dāng)然，用戶也可以自行購買指紋識(shí)別器一類的設(shè)備。

指紋識(shí)別技術(shù)還不完美，但這只是一個(gè)開始。谷歌正在開發(fā)一款USB鑰匙扣，用它可以直接登錄賬戶;微軟雖然沒有透露更多細(xì)節(jié)，但亦表示正在考慮尋求替代密碼的另一種方式。

相關(guān)鏈接

二維令推動(dòng)無密碼時(shí)代來臨

目前，互聯(lián)網(wǎng)上已經(jīng)普遍出現(xiàn)“密碼不密”的現(xiàn)象，由石盾科技推出的二維令所采用的“無密碼”認(rèn)證方式或許是解決密碼泄露、輸入繁瑣等諸多弊端的另一個(gè)可行途徑。

二維令只需簡(jiǎn)單“掃一掃”就可以實(shí)現(xiàn)更加快、易、安全的互聯(lián)網(wǎng)身份認(rèn)證。說到二維令，很多人可能還比較陌生;但如果說二維碼，相信很多人已經(jīng)十分熟悉。二維令就是利用二維碼帶來的便利性幫助用戶進(jìn)行更高級(jí)別安全登錄的，是傳統(tǒng)登錄方式“用戶名+密碼”的顛覆者。

二維令由兩個(gè)部分組成：一部分是二維令手機(jī)APP，另一部分是只有成人1/4手掌大小的二維令物理令牌。隨著微信、支付寶的迅速普及，方便、簡(jiǎn)易、快捷的掃二維碼獲取信息、完成支付、參與活動(dòng)等已經(jīng)被許多個(gè)人、企業(yè)或組織所熟知和使用，而二維令的出現(xiàn)則賦予了二維碼一種全新的應(yīng)用模式，那就是安全級(jí)別更高的身份認(rèn)證。

據(jù)了解，二維令采用國際通用的經(jīng)典加密算法ECC，密鑰長(zhǎng)度達(dá)到256比特，目前沒有人能直接破解這個(gè)長(zhǎng)度的密鑰。

除此之外，二維令是以智能手機(jī)掃碼登錄的方式完成身份認(rèn)證，因此不存在記憶用戶名、密碼的煩惱。登錄網(wǎng)站，用二維令A(yù)PP掃一掃專門為二維令開辟的第三方入口二維碼就可以輕松登錄;登錄手機(jī)其他APP，只需選擇二維令登錄并點(diǎn)擊授權(quán)即可，連掃碼環(huán)節(jié)都可省掉。像聊天、支付、郵箱等涉及個(gè)人敏感信息的網(wǎng)站，在使用二維令A(yù)PP掃碼的基礎(chǔ)上，用戶再掃一掃二維令物理令牌，雙重保障將更大幅度提升個(gè)人登錄安全。

從未來的發(fā)展趨勢(shì)看，會(huì)有越來越多的場(chǎng)景通過人體的面容、指紋、聲紋等方式進(jìn)行驗(yàn)證。我們可以預(yù)見，需要單純密碼的場(chǎng)合會(huì)越來越少，重要的是從現(xiàn)在開始，保養(yǎng)好我們的嗓子、手指和臉才是王道。

【責(zé)任編輯】趙新宇