文｜三易生活

在互聯(lián)網(wǎng)中，密碼無(wú)疑占據(jù)著十分重要的位置，畢竟它的存在保障了我們?cè)诰W(wǎng)絡(luò)上資產(chǎn)的安全。盡管密碼對(duì)于任何人的重要性都極高，但奈何總有人對(duì)它漫不經(jīng)心，以至于“123456”幾乎年年都榮登年度最弱密碼的稱號(hào)。為此，谷歌等科技巨頭聯(lián)手搞了個(gè)“無(wú)密碼”生態(tài)，目前谷歌也正在積極鼓勵(lì)用戶為賬號(hào)設(shè)置Passkey（通行密鑰）功能，以實(shí)現(xiàn)“淘汰密碼”的目標(biāo)。

然而曾經(jīng)為谷歌提供咨詢服務(wù)的技術(shù)專家Lauren Weinstein，近日卻發(fā)文強(qiáng)烈批評(píng)他們推廣Passkey的行為，并表示Passkey本身確實(shí)沒(méi)有問(wèn)題，但Passkey的中間認(rèn)證環(huán)節(jié)卻有著不可忽視的安全隱患。據(jù)悉，Lauren Weinstein在相關(guān)文章中表示，如果在酒吧里有人偷窺你輸入的設(shè)備密碼、然后借機(jī)偷走你的手機(jī)，這樣解鎖手機(jī)后就可以使用所有保存的Passkey。

想要了解為什么會(huì)有人認(rèn)為Passkey不安全，首先自然需要了解Passkey到底是如何工作的。

密碼作為一種安全防護(hù)手段，在信息技術(shù)逐步走向成熟的今天，如今已面臨著失去效用的風(fēng)險(xiǎn)。無(wú)論互聯(lián)網(wǎng)廠商如何苦心孤詣地勸導(dǎo)用戶使用更復(fù)雜的密碼，比如要求密碼需要包含大小寫(xiě)英文字母、數(shù)字、字符，但密碼被攻破的現(xiàn)象依舊層出不窮。

在算力成倍增加的情況下，現(xiàn)在就連大型企業(yè)也同樣無(wú)法避免被黑客攻擊，而互聯(lián)網(wǎng)企業(yè)的數(shù)據(jù)庫(kù)被攻破，進(jìn)而導(dǎo)致大規(guī)模信息泄露的案例在過(guò)去十年間可以說(shuō)是屢見(jiàn)不鮮。有鑒于此，尋求一個(gè)代替密碼來(lái)完成對(duì)用戶身份鑒權(quán)的工具，也成為了科技巨頭們的一致期望。由于密碼是一個(gè)證明“我是我”的工具，而要證明“我是我”其實(shí)并非只能依賴密碼，指紋、虹膜等生物特質(zhì)，以及U盾等實(shí)體設(shè)備就都可以實(shí)現(xiàn)。

谷歌的Passkey就是一個(gè)由一組密鑰組成的登錄驗(yàn)證文件，用戶在注冊(cè)Passkey后，只需輸入自己的賬戶，然后使用手機(jī)或電腦的各種認(rèn)證選項(xiàng)（如PIN碼、指紋、面部識(shí)別等）即可登錄，并且基于FIDO 2/WebAuthn標(biāo)準(zhǔn)的Passkey還支持跨平臺(tái)使用。讓而FIDO2則是由兩個(gè)開(kāi)放標(biāo)準(zhǔn)構(gòu)建，分別是FIDO客戶端身份驗(yàn)證協(xié)議(CTAP)和W3C標(biāo)準(zhǔn)WebAuthn。

簡(jiǎn)單來(lái)說(shuō)，就是WebAuthn定義了一個(gè)標(biāo)準(zhǔn)的web API，并提供一個(gè)創(chuàng)建和管理公鑰憑證的接口，可以與身份驗(yàn)證驗(yàn)證器通信。

Passkey的工作機(jī)制，就是在用戶注冊(cè)時(shí)生成一個(gè)新的密鑰對(duì)，其中包含一個(gè)私鑰和一個(gè)公鑰。私鑰會(huì)存儲(chǔ)在設(shè)備上，并與在線服務(wù)的ID和域關(guān)聯(lián)，而公鑰則存儲(chǔ)在谷歌服務(wù)器的在線服務(wù)數(shù)據(jù)庫(kù)中，當(dāng)用戶試圖訪問(wèn)在線服務(wù)時(shí)，谷歌就會(huì)使用API與身份驗(yàn)證者一起驗(yàn)證用戶憑據(jù)。

問(wèn)題就出在了這里，Passkey的本質(zhì)是使用用戶手機(jī)的指紋、面容，或Windows Hello驗(yàn)證、密碼管理器，來(lái)代替谷歌賬號(hào)的密碼。那么如果作為中間介質(zhì)的手機(jī)和PC本身就不安全呢？其實(shí)這并非杞人憂天，畢竟手機(jī)感染惡意軟件、PC被木馬攻擊可以說(shuō)是司空見(jiàn)慣的事情。

如果手機(jī)本身真的無(wú)懈可擊，谷歌又為什么會(huì)為Android系統(tǒng)推出月度安全補(bǔ)丁，甚至要求手機(jī)廠商必須經(jīng)常為智能手機(jī)推送安全更新呢。

而Passkey的另外一個(gè)問(wèn)題，就是一旦Passkey本身丟失，將會(huì)導(dǎo)致用戶被谷歌服務(wù)拒之門(mén)外。

根據(jù)谷歌方面的說(shuō)法， Passkey在Windows、Android、iOS上是不能轉(zhuǎn)移、修改和讀取的，也就是說(shuō)一旦生成，這個(gè)Passkey就會(huì)綁定在對(duì)應(yīng)的設(shè)備上，如果重裝系統(tǒng)就需要重新生成并綁定Passkey。然而，并非所有的用戶在創(chuàng)建Passkey時(shí)都會(huì)設(shè)置備用方案，那么一旦重裝系統(tǒng)或丟失手機(jī)后沒(méi)有了Passkey，就會(huì)出現(xiàn)無(wú)法訪問(wèn)賬戶的情況，并且谷歌也無(wú)法提供額外的賬戶恢復(fù)辦法。

有這樣的擔(dān)憂其實(shí)也很正常，畢竟確實(shí)有大量的用戶還在使用著“123456”或“password”來(lái)作為密碼。不過(guò)即便有一定的風(fēng)險(xiǎn)存在，Passkey的推廣也相當(dāng)有意義。因?yàn)楝F(xiàn)在的情況是在谷歌數(shù)以億計(jì)的用戶中，使用弱密碼、并且在各種服務(wù)中使用同一套密碼的現(xiàn)象過(guò)于泛濫，而Passkey在淘汰密碼這件事上的重要性幾乎無(wú)可替代。

或許在谷歌看來(lái)，淘汰已經(jīng)落后于時(shí)代的傳統(tǒng)密碼所帶來(lái)的收益，要遠(yuǎn)比Passkey可能存在的安全風(fēng)險(xiǎn)和用戶使用體驗(yàn)下降帶來(lái)的損失大得多。而且一旦Passkey迎來(lái)普及，用戶因?yàn)槿趺艽a而導(dǎo)致的個(gè)人隱私和財(cái)產(chǎn)損失就會(huì)大幅減少，所以完全沒(méi)有必要因噎廢食。