在現(xiàn)代互聯(lián)網(wǎng)上沖浪，最重要的資產(chǎn)是什么？毫無疑問是眾多網(wǎng)絡平臺下的那一個個賬號，賬號里面的信息與社交圈脈是現(xiàn)代人在信息社會下的縮影，而密碼作為所有賬號的鑰匙，自然也是重中之重。

如今的網(wǎng)絡平臺通常是以賬號密碼和驗證碼輔助驗證的方式來進行登錄，這似乎已經(jīng)成為了一種共識，但實際上現(xiàn)在的科技巨頭們，并不認為這是密碼的終極形態(tài)。

在最近，谷歌、蘋果以及微軟，都在大力提倡無密碼登錄！聽到無密碼登錄，你可能會有些好奇，甚至覺得有些違反常理，密碼在自己手中，想登錄就登錄才最安全的不是嗎？事實上，在國外的一個組織：FIDO（Fast IDentity Online快速身份識別在線聯(lián)盟）認為，密碼身份驗證恰恰是最大的安全問題之一。

在提及如何進行無密碼登錄的方式之前，有必要先來看看這個FIDO是什么，F(xiàn)IDO聯(lián)盟成立于2012年7月，他們致力于構建一套開放的協(xié)議標準，用來改變目前主流的密碼驗證方式，加入的會員都是大公司，像是Google、BlackBerry、ARM、英特爾、PayPal、Lenovo、MasterCard、三星、VISA、Synaptics、RSA、微軟。中國會員有阿里巴巴、聯(lián)想、飛天誠信、支付寶等等以及中國臺灣的神盾股份。

因為傳統(tǒng)的密碼登錄方式存在各種問題，比如爆破用戶設置的弱口令、還有獲取到某個級別比較高的管理員密碼之后，就可以通過權限來訪問存儲在數(shù)據(jù)庫的其他人的密碼，或者是在輸入密碼的時候被截取等等，這些都是真實存在的，就像是報道里經(jīng)常出現(xiàn)的外國國家級的基礎設施都存在123456類型的弱密碼，雅虎等大平臺密碼數(shù)據(jù)被扒的事情，或者是早些年網(wǎng)吧里面經(jīng)常有的盜號軟件等等。

而不采用密碼驗證身份的話，就算別人拿到了你的密碼，也無法登錄你的賬號，也就加強了安全性。其實這個也很好理解，現(xiàn)在的掃一掃登錄、指紋識別、人臉驗證、U盾、NFC芯片、語音識別、以及之前升級Windows11時需要的TPM可信賴平臺模塊，都是在FIDO的協(xié)議標準里面。

FIDO1.0協(xié)議分成UAF和U2F兩個大類，UAF的全稱為Universal Authentication Framework protocol，它是一種生物身份識別方式，包括指紋、語音、虹膜、臉部識別等信息，不用密碼就能進行交易操作，大家用過支付寶等其他軟件的指紋驗證都懂，省去了輸入密碼的麻煩。UAF登錄的時候也可以保留密碼驗證的方式，就像是去超市刷臉購物，有時候識別有風險，還會讓你輸入手機號是一樣的。以此來提高賬號的安全性。

而U2F的全稱為Universal Second Factor (U2F) protocol，簡單來說就是雙重驗證，也是讓各大國外游戲玩家頭疼的二次驗證，除了在登錄的時候使用密碼，還需要一個用來綁定了信息的設備再輸入一個驗證碼?，F(xiàn)在這類軟件被叫做登錄器，像是什么軟件賬號登錄器，谷歌Play登錄器，以及各種游戲像是Steam和育碧的登錄器，這樣做的好處就是你的密碼就算被釣魚郵件不小心釣走了，那些人也無法登錄賬號，無法冒充你。對，就像是QQ安全中心里的令牌。

在FIDO1.0出來多年之后，在2018年又與W3C萬維網(wǎng)聯(lián)盟推出了FIDO2.0。

這下面又細分為WebAuthn和CTAP協(xié)議，這兩個也是如今所廣泛使用的，像是Chrome、Edge、Firefox都支持，更通俗一點，WebAuthn就是在使用QQ或者微信登錄其他平臺使用的技術，想想看，如果現(xiàn)在還是用密碼來登錄游戲，是不是會覺得有些煩人？說起來在很久以前，大家都是用密碼登錄游戲。

而現(xiàn)在，企鵝靠著強大的用戶數(shù)量優(yōu)勢來扮演著登錄器的角色，很多應用可以使用QQ或者微信登錄，只是靠著背后提供登錄驗證的技術支持嗎，其實更多的是想構建屬于自己的流量體系。相對的，接入的應用也可以獲取用戶的關系鏈來完善自己的產(chǎn)品，這看上去像是雙贏的局面，但這樣的最終的目的，還是讓強者更強，掌握其他應用的運營信息，知己知彼，以建立自己的玩法體系。

這也是科技巨頭們?yōu)槭裁慈绱饲嗖A無密碼登錄的原因，因為旗下的服務足夠多，覆蓋的面足夠廣，所以有這樣的底氣，誰讓客戶養(yǎng)成了無密碼登錄的習慣，也就意味著很大程度把用戶與自己的生態(tài)綁定了。也許巨頭們的技術不一定是最頂尖的，但是生態(tài)城墻的高度一定會讓后來者感到巨大壓力。

試想一下，在新出的網(wǎng)絡游戲中無法使用社交平臺的賬號登錄，還需要自己手動創(chuàng)建賬號，導致一大堆賬號需要記。而另一個游戲直接可以用社交賬號登錄，還可以與好友一起玩，你會選擇哪一個？而WebAuthn類似的技術也是催生出了各種各樣的游戲渠道服的底層邏輯。

上面說到WebAuthn之外，還有一個CTAP客戶端到認證器的協(xié)議，這個也很好理解，藍牙靠近電腦自動解鎖，利用iPhone在沒有指紋模組的MacBook上購買東西，用來驗證與支付，用某一個設備來驗證身份的好處就是不用擔心網(wǎng)絡上搞破壞的家伙了(所以現(xiàn)在的惡意軟件都喜歡搞正大光明的勒索)。

所以說以后大家的注意力應該從網(wǎng)上應該放到身邊的人來了？以后誰的密碼被盜，賬號被盜刷，第一反應就是熟人作案，具體參照：某六旬老太深夜打王者榮耀五殺的奇葩新聞，還有用家長的面部信息給主播打賞幾十萬的熊孩子。

全面無密碼登錄的科技時代也許有一天會到來，但是要等到信息不被竊取的那一天恐怕遙遙無期。就像眾多密碼與信息安全書籍里面說的一樣，最薄弱的環(huán)節(jié)不在機器之間的驗證和信任，不在算法與加密的漏洞，更多是在人身上，人為的漏洞不可避免。

計算機相關的薄弱環(huán)節(jié)不好可以換掉，但是只有人人加強自身防范意識的這道“個人防火墻”，才能保護好你的個人數(shù)據(jù)，至于那些看到桃色信息就忍不住一探究竟的人，再好的防護硬件都沒用。還是...找個坑埋了吧，沒法救了。