最近微软安全部门的副总裁 Vasu Jakkal 宣布了一条,让各位微软用户甚至欣慰的通告:微软用户在登入微软旗下的账号时,不需要再输入烦人的密码了。
这消息,对于很多像世超这样的“ 记密码困难户 ”来说,简直就是个“ 造福人类 ” 好消息了,毕竟谁喜欢记忆一大堆的密码呢?
其实早在 2017 微软就尝试用 Microsoft Authenticator 让用户免密登录微软账户。
差友们可以把这个 Microsoft Authenticator 简单的理解为一个微软在手机上的一个安全令牌,当你想要登入微软的账号时,这个安全令牌就会收到一个个人识别码。
用这串数字来来确认你的身份,这种安全验证的模式,相信差友们应该不会陌生,不知道还有多少差友记得十年前,网易做过一个叫做将军令的东西。
跟一个 MP3 差不多大小,这玩意每过 60 秒就会更新一个新的秘钥,差友们可以简单的理解为:微软把这玩意做成了一个 App ,放在你的手机上,用来代替密码登入。
2018 年微软对自己的无密码登入进行了进一步的升级,加入了指纹登入、摄像头面部识别等安全验证的方式。
并且还把自己的 Edge 浏览器和用户的 Windows 10 电脑进行了一个账号的绑定,只要你用自己的 Windows 10 电脑登入微软的账号,电脑就会自动识别,完成安全验证。
这种绑定Windows 10 电脑的操作,对于很多用户来说真的是很友好了,毕竟谁愿意记这么多复杂的的密码呢?
到了2020 年 5 月,微软公司的透露,每月已经有 1.5 亿的用户在使用无密码登入了,并且这个数字还一直都在增加,看来使用无密码登入觉得算是个众望所归的决定了。
为了更好的推动无密码登入的发展,微软还把如何使用 Microsoft 账号进行无密码登入的操作操作步骤,写进了他们的用户帮助文档里。
并且在第一行,还明确表示了无密码登入是:新一代安全性、简单、快速、安全的验证方式。
其实微软这次的无密码登入,并没有什么让人眼前一亮的黑科技,用的技术都是现有的安全验证的办法,只不过这次微软直接把设置密码这道程序都省略了。
支持用户不设置密码,就能够登入账户。
并且微软还给安全验证做了个详细的分级,单纯的密码登入被羞耻的挂在了安全性最差的榜单上。
其实那就现在的网络安全环境,单纯的密码登入也确实少见了。
而微软说单纯的密码验证,是目前安全性最差的加密方式也是有一定道理的。
为了图省事,相信很多人来回来去,用的就是这么几套密码比如:姓名缩写+出生日期;或是字母组合+手机号码啥的。
没错,说的就是在看文章的各位!
而这些简单密码,说到底是字母和数字的排列组合~
黑客们用“ 暴力破解 ”的笨办法,就有可能攻破这种类型的密码。
别看黑客们平时在网络上总是被吹捧的特别“ 神秘 ”、“ 高端 ”,其实这种“ 暴力破解 ”密码的手段,在黑客盗用密码时是最常见的。
从理论上说,只要把所有的字母+数字的可能性都试一遍,总有一次找到正确的密码。
举个极端的例子,假如用无限只猴子放在无限的空间里,让它们一只不停的敲击键盘,总有一天有一只猴子能够敲出一本《 莎士比亚 》。
当然了,这个理论不是我说的,而是出自埃米尔·博雷尔一本在 1909 年出版谈概率的书。
而黑客们只需要写一个程序,把任何密码的组合试一遍,按照现代计算机达到每秒几十亿次的计算速度,这不相当于有每秒有几十亿只猴子,在打字机前帮他试密码嘛。。。
不过为了应付黑客们这种“ 暴力破解 ”,现在的密码加密都加入了加密算法,比如:签名算法、对称加密算法、DH 秘钥交换算法等等。
这些加密算法的原理是对明文的密码继续某种算法处理,让它成为不可读的代码“ 密文 ”,使其内容变得不可读,通过这样的方式让来保护数据不被非法人窃取、阅读的目的。
所以黑客想要用“ 暴力破解 ”的方式,破译你的密码计算量是十分庞大,除非他们使用量子计算机,要不然等待一个密码破译的时间,黄花菜都凉了。
所以黑客还会在破译你密码时,加入一些统计学的东西。
根据密码管理公司 NordPass 在数据库在对近 2.757 亿个密码进行审查后,发布了 2020 年网上账户最常用的 200 个密码名单。
不出所料啊,123456 又一蝉联 “ 最烂密码榜的第一名 ”。
而如果黑客提前知道了你的姓名、手机号等等个人信息,那么在“ 暴力破解 ”你的密码,就极大的降低了他们试错的成本。
当然了,为了预防这种“ 暴力破解 ”的黑客攻击,厂商们也想了很多方法,相信经常忘记密码的各位都经历过,需要做密码验证的痛苦经历。
有时候是让你输入一串怪异的验证字母,有时候则是让你在图片里找不同。
这些连小朋友都会做的事,其实就是在测试在电脑前输入密码的到底是不是人。
不过道高一尺魔高一丈,除了这种“ 暴力破解 ”的手段,黑客还会用撞库的手段来破译你的密码。
撞库,就是拿着网络上已经泄露的密码和账号,去尝试破解另一个网站。相信差友都习惯把很多账号的密码都设置成一样的。
毕竟这样比较省时省力嘛,也算是人之常情了,但是这一点也会被黑客给利用,所以世超强烈建议在一些涉及金融安全的账号上,最好别用一样的密码。
否则很容易被黑客“ 一锅端 ”了。
所以 iOS 的钥匙串 或者 Chrome 的一些密码管理插件,都会自动帮你生成一串又臭又长的随机密码并且保存在系统上,这些措施都在变相的增加,黑客破译你密码的难度。
密码这种加密手段虽然是现在最普及最常见的,却不一定是最安全的,而现在也慢慢的出现了一些更加高级的加密手段,比如手机验证码登入、指纹密码、面容识别等等。
现在主流的安全验证都采用的是两步验证的方法。
差友们最常见的就是密码+短信验证这种形式了,除了短信验证还有 PIN 码、一次性秘钥等等二次验证方式。
而无密码登入的这种形式,在手机上也很常见了:现在的智能手机不带个指纹解锁或者面部识别,都不好意思拿出来卖。
现在的 iOS 系统,也早早了适配了用面容 ID 代替密码输入的无密码登入了。
另外一些带指纹识别的安卓手机,也同样支持用指纹代替密码输入的安全验证模式了。
这些登入方式,其实本质上也是无密码登入的一种形式。
从长远来看,密码登入这种形式并不会这么快被淘汰。
比如现在的设备不适配,老旧系统不兼容,就是现在的无密码登入面对的一大难题。
差友们可以想象一下,当所有 App 都在手机上适配了无密码登入比如指纹、面容这种需要硬件支持的无密码登入。
那么那些使用老人机的朋友,怎么登入自己的账号呢?
从目前密码登入是最高效、普及的登入方式,不过微软作为一家体量如此巨大的互联网公司,已经在往前走了,迈出了无密码登入普及的一大步。
迟早使用密码登入会成为下一个时代的眼泪。
或许十年之后,当我们再跟自己的孩子聊起密码时,他们会好奇的问我们:密码是什么?