没密码账号更安全，谷歌没在开玩笑 _密码

文章插图
图片来源@视觉中国

文 | 雷科技Ieitech

时至今日，「账户」连同「密码」已经关联了我们太多的重要数据，但与此同时，世界上最多人使用的密码又是什么？
2022 年， NordPass 在检索 3TB 容量的全球密码库后发现是：password（密码）。排在「password」后面的还有「123456」「123456789」「qwerty」这类大家喜闻乐见的密码，而这些密码早在十年前就已经「流行」全球。
可想而知地球人是有多懒？十年都不带换。
诚然，懒得花费精力记忆或者琢磨一套个人的密码系统是一方面，但另一方面也是一位因为密码天然存在太多问题，很早就有人主张砍掉「用户名-密码」的安全体系，用「无密码登录」取而代之。
赶在今年的世界密码日前，谷歌在官方博客发文宣布，此前在测试的 Passkey（通行密钥）无密码登录功能将向所有用户推出，用户可以基于信任的设备直接完成生物验证，而不用输入密码。事实上不仅是谷歌，微软甚至早在 2021 年 9 月宣布了无密码登录功能，还支持用户在账户中完全删除密码，仅依靠生物识别进行登录，自然也就不存在密码泄露的问题。
另外，作为全球最重要操作系统厂商，谷歌、微软和苹果还在去年的世界密码日（5 月 5 日）联合宣布，他们将致力于在未来一年，在其控制的所有移动、桌面和浏览器平台上打造无密码登录系统。
从互联网早期一直流行到今天，好端端的密码怎么就不受大家的待见了？
密码泄露了，拿什么证明我是谁？
去年 6 月，大学生学习软件「超星学习通」曝出了大规模被拖库事件， 1 亿 7273 万条用户数据遭到泄露，包括姓名、手机号、性别、学校、学号、邮箱、密码等信息。该消息随后冲上微博热搜，大量超星学习通用户都反映收到了外地乃至境外的诈骗电话，还提到对方能准确报出身份证号等关键信息。
事件发生后，不少高校也都接到教育网的相关通知，显示不仅确认超星学习通泄露了大量用户数据，并涉及全国大量高校，应急安全响应为 A 级。同时通知还提醒老师和同学：

「如果您其他系统密码与超星学习通密码一致，请尽快修改为新密码，严防撞库对自己产生更大危害，谨防诈骗。」

文章插图
与此同时，过去几年全球不断发生账户密码泄露事件，根据网络安全公司 SpyCloud 发布的 2023 年身份暴露报告，研究人员仅去年就在网上发现了 7.215 亿个被泄露的密码，其中一半来自僵尸网络——被恶意软件感染并被黑客控制的计算机网络。
如果涉及微信、支付宝、银行和电商平台这类关键账户，不仅会极大地影响日常生活，也触碰到了极为敏感的财产安全，一旦泄露可能引起无可挽回的损失。另一方面，用户也要面对密码泄露的成本，一部分账号或许可以自助修改密码，无非花费一些可预计的时间，另一部分已经被篡改的账号，可能就需要用户提供足够的信息「证明你是你」。
本质上密码就是用来证明身份的工具，问题也恰恰于此——密码说到底也只是一串文本。不管是撞库、钓鱼邮件还是僵尸网络，作为身份证明工具的密码都太容易泄露和盗用，密码管理器和两步验证可以完善对「密码」的保护，但除了较高的学习和使用成本，并不能改变密码容易被盗用和篡改的本质。
个人密码，从入门到放弃
账号密码几乎是伴随着早期互联网而起，最典型的应用就是邮箱，但对中国 90 年后生人来说，可能更多是在 QQ 上记住了第一个账户和密码。而即便是在 QQ 兴起的新千年初，随着大量网站和软件的涌现，互联网用户注册了一个又一个账户，大部分人事实上只能记住少数的用户名和密码，很多时候都是重复使用同样的密码，或是用上「手写密码」这种笨方法。