雅虎近日宣布了一項新的免口令電子郵件系統，但安全專家對免密碼的未來持懷疑態度。

雅虎郵箱本月將迎來它的第18個生日，18年來這項郵箱服務每天都在以各種方式進步。上周，雅虎宣布其郵件服務又添新版本，承諾用戶能以全新方式免口令安全登錄郵箱。

雅虎郵箱免口令登錄的基礎是一項該公司稱之為“雅虎賬戶密鑰”的技術。雅虎產品管理副總裁迪蘭·凱西在輕博客Tumblr發表博文解釋了賬戶密鑰的運作：賬號密鑰利用了移動設備的推送通知為用戶提供登錄雅虎賬戶的便捷方式。

“賬戶密鑰以安全、優雅、易用的界面與登錄過程無縫銜接，使登錄過程就像輕觸一個按鈕那么簡單。”凱西說，“這種登錄方式還比傳統密碼登錄更安全，因為一旦你激活了賬戶密鑰，即使其他人知道了你的賬戶信息他們也不能登錄進去。”

但一些安全專家們卻對雅虎承諾的這項免密碼服務的未來表示了懷疑。

Risk Based Security首席信息安全官杰克·闊恩斯說，長期以來各種密碼就是用戶十足的痛苦源泉。

“沒人喜歡被迫記憶又長又臭的密碼，更別提還要經常改密碼了。在Risk Based Security，我們跟蹤了超過2.68億個被曝出的賬戶和憑證，其中很多都導致了數據泄露，因此絕對有必要研究出密碼之外的解決方案。”

闊恩斯說，如果雅虎能成功地想出有效免去密碼的安全方法，那對用戶絕對是有力的吸引。然而，他補充道：“表面上，雅虎的方式凸顯了免密碼特性，但不幸的是，實際上看來并沒有真正改善安全。”

雅虎的方式偏離了普遍認為的行之有效的最佳實踐——雙因子身份驗證（用戶擁有的+用戶知道的）。

Unit 221b的網絡安全和情報顧問蘭斯·詹姆斯說，雅虎的免密碼方式不過是個“噱頭”，并不能真正解決問題。“你必須使用電話號碼的事實就是不明智的，主要是因為電話號碼本身就是除密碼外另一個被買賣的數據項。一步登錄很有趣，但電話或智能手表本來就不應該被信任、被解鎖，或留在其他人能接觸到的地方。”

詹姆斯說，鑒于移動設備惡意軟件問題越來越突出，新系統現在就面臨著簡單的攻擊方式——如果攻擊者某種程度上有能力入侵手機，雅虎的免密碼系統就是個風險。

“如果攻擊者只是用被侵入的安卓手機（比iPhone更容易侵入）找出雅虎用戶名并登錄進雅虎賬戶，在用戶不知情的情況下轉發那條登錄消息或者直接點擊‘是’按鈕對他們而言是十分簡單的事。”

詹姆斯說，雅虎的新方式不會帶來太大的改變。“我不認為長期來看這一功能會對很多常見攻擊造成什么重要影響。”