Google開始淘汰傳統密碼，通行密鑰時代或來臨

在保護用戶網絡安全的戰場上，密碼一直都站在最前沿。但密碼技術本身，也有著易遭破解、難于記憶、管理不便等不足和應用挑戰。在今年的世界密碼日前夕，Google公司正式發布了一項新服務—— 通行密鑰（Passkey），幫助用戶以更簡單、更安全的方式登錄谷歌賬號，以取代傳統的密碼口令登錄模式。

谷歌身份與安全產品經理克里斯蒂安·布蘭德表示：傳統的密碼驗證模式已經不再適應當前的數字化應用發展水平，不僅用戶體驗感差，而且其技術本身也容易被惡意破解、釣魚詐騙以及違規使用。而通過此次發布的Passkey技術，則可以有效避免這些問題的出現。

傳統密碼口令已死？

全球有數十億用戶每天都在不同設備上使用密碼作為應用系統的登錄口令，雖然密碼的重要性不容小覷，但糟糕的密碼管理和使用方法比比皆是。據2022年《Verizon數據泄露事件報告》數據顯示，超過80%的數據泄露是由于被竊取或破解的賬戶密碼所引發，但很多用戶并沒有意識到潛在的危險。

在采用密碼技術之后，很多企業和個人都認為可以有效保護系統和敏感數據的訪問安全。然而，傳統密碼登錄驗證模式的缺陷也非常明顯：

• 首先，密碼口令在本質上就是不安全的，它們可能被盜、被猜測或被暴力破解，特別是隨著計算能力的提升，傳統密碼技術被破解的難度在不斷降低；
• 其次，但很多情況下，用戶并不了解如何正確使用（或設置）密碼，弱密碼和密碼重用的情況普遍存在；
• 此外，我們每個人都在使用十多個甚至近百個密碼，如何記住這么多的用戶名和密碼組合，還要定期更改，在管理上并不容易。盡管密碼管理器可以幫助用戶管理復雜密碼，但也只是一個折中措施，無法從根本上保證安全性。

由于以上難以解決的不足和挑戰，企業面臨的最大安全風險之一就是將不安全的密碼技術作為身份驗證的主要方法。在此背景下，包括微軟、蘋果和Google在內的領先科技廠商都在積極開發一種更先進的無密碼登錄技術和標準，以實現更高的安全性和保護性。而本次Passkey服務功能發布，則是替代傳統密碼驗證技術的一個重要標志。

Passkey其實并不是一種新技術，而是密碼學中“非對稱加密”在登錄認證中的一種創新應用。Passkey可以被理解為是“生物密碼”技術 和 “授權登錄” 技術的結合。用戶可以在Android 手機上創建一個基于公鑰加密的密鑰憑據，并需要對該憑據進行生物特征識別，比如 “指紋” 或者 “面部識別” 等。與傳統密碼相比，Passkey可以給用戶帶來更好的使用體驗，而且能夠更好地應對憑據盜竊、網絡釣魚和社會工程欺詐等攻擊。

通行密鑰推廣應用的挑戰

據布蘭德介紹，Google計劃在未來幾個月重點推廣Passkey，并敦促用戶將傳統的密碼登錄方式轉換為Passkey。盡管我們非常期待以Passkey為代表的無密碼技術帶來易用性、安全性和廣泛性等多維度的變革，但是要在更多企業組織中推廣應用類似Passkey技術可能并不容易。

研究人員發現，阻礙無密碼登錄技術應用的關鍵因素并不是技術本身的缺陷或限制，而是由于很多企業中身份和驗證管控的現狀。很多企業中，身份管理和身份驗證仍然是相對獨立的，而很多廣泛使用的應用程序在設計開發時，并沒有合理考慮如何支持通行密鑰等無密碼登錄驗證新模式。盡管Passkey是一種解決身份安全驗證和用戶體驗的有效辦法。但是只有消除身份管理和身份驗證之間的隔斷，該技術才有希望真正在更多企業中落地應用。

此外，通行密鑰要真正取代傳統的密碼驗證方法，還必須能夠廣泛適配企業復雜的數字化環境，包括能夠兼容各種網站應用、智能手機和桌面應用程序，同時還要支持數量眾多的操作系統版本和環境。這對服務提供商將是一個棘手問題，因為這意味著必須在所有這些環境中安全、穩定、便捷地共享使用密鑰，要實現這種互操作性并不容易。

同時，面向企業級用戶和面向消費者的通行密鑰解決方案在設計和實施上也會存在巨大差異。消費級產品主要需求是管理數百萬個通行密鑰，需要彈性擴展能力以支持這種巨大的工作負載。而企業組織更希望讓所有員工能夠更安全地在各種設備、瀏覽器和網站之間實現互操作性，因此需要將密鑰與使用者的身份進行強驗證和綁定。

誠然，無密碼技術應用的時代已到來。但是要構建企業級通行密鑰解決方案還需要研究人員繼續努力。也許到了2024年的世界密碼日，我們就可以看到傳統密碼驗證技術的真正消亡。