北京時間2月10日,生活在網(wǎng)絡(luò)與設(shè)備時代,沒有人可以離開密碼,沒有人喜歡密碼。許多科技企業(yè)都在尋找密碼替代方案,走在最前沿的是谷歌和蘋果。密碼也許不會終結(jié),但它的使用率肯定會越來越少。《華爾街日報》最近刊文談到了密碼替代技術(shù)的發(fā)展,下面是報道全文:
不要密碼,按下按鈕就可以了
羅希特·保羅(Rohit Paul)已經(jīng)看到了數(shù)字安全的未來,我們必須拋棄煩人的密碼。最近,保羅想用筆記本編輯一張存放在谷歌Photos的度假照片,他拿了妻子的電腦來編輯。保羅只有27歲,是一位工程師,他沒有必要輸入谷歌認(rèn)證信息,只需要按一下Nexus 6P智能手機上的按鈕就可以了。
“生活更容易了。”保羅說,“沒有必要輸入復(fù)雜的密碼了。”
技術(shù)人員的目標(biāo)是在安全和易用性上取得平衡,這兩點在智能手機上已經(jīng)重合。谷歌母公司Alphabet、蘋果都在開發(fā)新技術(shù),用一個特殊項目管理所有密碼,或者通過短信就可以輸入代碼,它們不準(zhǔn)備這樣做。相反,谷歌和蘋果將手機作為密碼及其它身份信息替換的地方。Alphabet正在悄悄地測試一個項目,它叫作“Sign in with your phone”(用你的手機登錄),保羅正是項目的開發(fā)者之一。谷歌想讓Android用戶不輸入密碼就登錄自己的服務(wù)(從任何設(shè)備上登錄),。未來,谷歌工程師的目標(biāo)是讓Andoird手機通過分析語音、輸入、其它行為來識別個體用戶。
蘋果已經(jīng)在iPhone中植入專用高安全性芯片,不必輸入一長串的密碼,用戶只要用指紋就可以登錄APP。iPhone內(nèi)置Touch ID指紋閱讀器已經(jīng)成了解鎖手機的流行方式,APP開發(fā)者已經(jīng)開始利用內(nèi)置安全功能取代密碼。
在Apple Pay和Android Pay等替代信用卡的服務(wù)中,移動手機成為個人身份的象征。銀行開始嘗試用手機替代ATM卡。花旗銀行、富國銀行已經(jīng)開始測試新系統(tǒng),它可以讓用戶通過手機顯示屏上的特殊代碼取錢。
沒有人喜歡密碼
在數(shù)字生活中密碼臭名昭著。用戶常常忘記,容易被別人猜到,靠一個密碼連接多個在線服務(wù),如果密碼泄露所有服務(wù)都受到威脅。網(wǎng)絡(luò)管理者討厭密碼,因為它無法阻擋黑客,重置也需要成本。管理者討厭密碼,因為它太浪費時間了。Gartner估計在企業(yè)服務(wù)臺支持電話中20-30%與密碼重置有關(guān)。
微軟研究人員科馬克·赫爾利(Cormac Herley)估計,2014年如果20億網(wǎng)民每天平均每人花5秒鐘輸入密碼,一天累計時間長達(dá)1389人年。赫爾利說:“從成本效益角度來看,用戶抵觸大多的安全設(shè)備是可以理解的:使用太麻煩,回報卻很小。”例如,系統(tǒng)告訴用戶不能使用舊密碼就是一個問題,如果用復(fù)雜、隨機字符作為密碼又記不住。
“據(jù)我們所知,所有流行密碼全部都是垃圾。” 美國約翰霍普金斯大學(xué)計算機科學(xué)助理教授馬修·格林( Matthew Green)說,“人們喜歡在大數(shù)字中挑選不太安全的數(shù)字作為密碼,從安全角度來看密碼很不靠譜。”盡管如此,格林不認(rèn)為密碼很快就會被移動手機新技術(shù)替代。他說:“我覺得這些新技術(shù)創(chuàng)意不錯,但要想真正拿來用來還是太古怪了。在驗證時錯誤還是太多了。”
曾經(jīng)密碼瀕臨滅絕。在新手機上運行移動APP時,只需要用戶在第一次使用時輸入密碼,然后就不必了。但障礙依然存在,買一臺新手機或者換一臺電腦,你需要記得密碼,而且往往要記很多密碼。
智能手機可以成為密碼替代品。像密碼一樣,移動設(shè)備已經(jīng)無所不在,它是獨特的,也是高度個人化的。和密碼一樣,手機很難復(fù)制,在地下論壇黑客無法向所有人出售復(fù)制品。
安全芯片可以幫iPhone擺脫密碼
谷歌“Sign in with your phone”功能正是為了淘汰密碼。谷歌先進技術(shù)和項目部門主管雷吉納·杜坎(Regina Dugan)在去年5月時曾演示一套系統(tǒng),它通過手機的傳感器收集數(shù)據(jù)然后進行分析,判斷用戶是不是主人。杜坎在去年5月的谷歌年度開發(fā)者大會上說:“身份驗證技術(shù)的一下個前沿領(lǐng)域就是將PIN(個人識別碼)和密碼的功能轉(zhuǎn)移到設(shè)備本身。”
著名黑客派特爾·查科斯基(Peiter Zatko,綽號“Mudge”)曾經(jīng)幫助谷歌開發(fā)密碼替代工具,去年他離開了谷歌,成了一名安全顧問,他相信蘋果在淘汰密碼上選擇的方法更好。查科斯基認(rèn)為,蘋果擅長硬件設(shè)計,它的重心在高端市場,蘋果掌握了技術(shù)的兩個關(guān)鍵部分,它有可能幫助用戶擺脫密碼的困擾。
2012年蘋果3.55億美元收購了AuthenTec公司,這是一家指紋閱讀器制造商。AuthenTec技術(shù)成了iPhone Touch ID的基礎(chǔ),用戶可以用指紋而不是密碼登錄iPhone。
新技術(shù)帶來的直接結(jié)果就是安全性提高。2年前,大約50%的iPhone用戶不會鎖定手機。今天,90%的用戶會用密碼或者指紋鎖定手機。在美國下載量最大的2000個免費iPhone APP中,7.5%支持Touch ID功能,當(dāng)中包括Evernote和美國銀行的APP。
紐約安全顧問公司Trail of Bits本周將推出一項名為“Tidas”的項目,它可以讓開發(fā)者以更安全更時尚的方式接入iPhone。自從蘋果推出專用安全芯片之后(2015年6月蘋果推出Secure Enclave安全芯片),Trail of Bits就開始開發(fā)軟件。Trail of Bits CEO丹·吉多(Dan Guido)相信蘋果提供的增強性安全芯片會進一步威脅到密碼的生存空間。他說:“如果新技術(shù)普及到一定的程度,使用密碼的人肯定會越來越少。”
盡管如此,蘋果iPhone和iOS產(chǎn)品營銷副總裁雷格·喬斯維亞克(Greg Joswiak)卻認(rèn)為密碼并不會完全終結(jié)。他說:“在一些地方密碼仍然用得著,比如用它來給設(shè)備中的所有東西進行加密。我們要做的是用Touch ID提供更容易使用、更安全的體驗,盡量降低密碼的使用頻率。”
保羅使用谷歌的Gmai、搜索、照片存儲、駕駛軟件,他偶爾也會使用密碼。保羅說:“當(dāng)其它手段行不通時我就用密碼。”