何寶宏/文

早期計算機的設計，不會浪費珍貴的計算資源在身份驗證等，這類意義不大的無聊事上。當需要驗證用戶身份時，不依靠計算機本身，而是依靠看門老大爺、機房值班員、計算機操作員或警衛人員等，因此都是“離機”的。

到了1960年代後，随着多用戶和計算機分時系統等興起，區分用戶成了剛需，計算機開始設計和配置了身份驗證功能。用戶登錄時有兩步，一是輸入用戶名(ID)，二是輸入密碼(Password)，成“在機”的了。

後來互聯網興起，互聯網的用戶密碼系統，繼承和發展了計算機密碼系統。

首先，計算機用戶的工作環境是單機和相對封閉的，而互聯網用戶的工作環境是網絡化和開放的。為了防止惡意人員，用機器通過網絡自動嗅探用戶密碼，這時的密碼系統增加了“驗證碼”一欄，用戶需要輸入的變成了三項，因為“在線“的原因。

輸入“驗證碼”是為了識别，這次輸入ID和密碼的，是人類而不是機器。因此我們每天輸入驗證碼，隻是為了證明“我是人，我不是個東西”！而近年來随着AI技術的進步，驗證碼也基本已經破防了，人機很難區分了。

其次，計算機用戶經常隻需要管理一台計算機上的多種應用，而互聯網用戶要面對位于不同系統上的無數不同應用。2020年的一項調查，每個用戶平均管理者100個密碼。另一項調查，每個互聯網用戶平均至少管理了5個密碼。

“忘記密碼”，已經是所有身份驗證系統的“剛需”功能項了。為了不“忘記密碼”，有三種典型做法：1）弱密碼；2）登錄所有平台或系統時，使用相同密碼；3）寫在線下的紙上。

既要用戶要記住多套密碼，又要用戶是強密碼，還要用戶經常性更新密碼，這是典型的“密碼悖論”！普通用戶的密碼系統，很可能隻滿足了一條而不是三條要求！

數據顯示，80%的網絡攻擊都是針對密碼(微軟)，50%以上的老年用戶最常咨詢的問題是忘記賬戶密碼(阿裡，2018年)，81%的公司數據洩露是由糟糕的密碼協議引起的(TraceSecurity)

數據洩露和身份盜用，正在導緻密碼的終結。

《MIT科技評論》公布的“2022年全球十大突破性技術”，排在第一位的是“密碼的終結”，認為新形式的身份驗證，最終将讓我們永遠擺脫密碼的方式。

其實，早在2004年，比爾蓋茨公開就表示，“個人認為密碼正在消失”。而Forrester 公司副總裁Merritt Maxim說，密碼是“互聯網上的蟑螂”，令人讨厭和耐寒，但值得花時間去殺。

無需密碼做身份驗證，大緻有以下特點：1）使用多重身份驗證(MFA)，即需要多個因素才能允許訪問帳戶。2）更安全的識别手段，如生物識别技術取代用戶需要記憶的密碼。3）建立在PKI密碼學的概念之上。

常見的生物識别技術包括：指紋、聲音、視網膜\角膜圖案\手靜脈圖案、手印、面部遙測、身體熱簽名、書面簽名和簽名動态等個人特征。

基于PKI的身份驗證系統，會有一對公鑰和私鑰。公鑰會被發送到在線系統進行訪問，而私鑰保留在用戶的設備上，并鍊接到唯一的生物識别身份驗證因子。解鎖私鑰的唯一方法是使用生物識别技術，例如面部掃描，語音識别或指紋等。

密碼的終結，需要基于密碼學。

無密碼的身份驗證技術，已經被納入大多數品牌的筆記本電腦中，微軟、谷歌、Okta、Duo等公司也提供了新的身份認證方法。

而随着生物測定學技術、傳感器技術和AI深度學習技術等的持續進步，已經用了幾十年的密碼系統，正在走向終結。

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!