密码结束的开始

伟大的密码灭绝已经在进行中

想象一个没有密码的世界。

在这个无密码的新世界中，您仍然可以登录所有在线帐户。 从 WordPress 网站到您的银行，创建和访问在线帐户比以往任何时候都更容易、更安全——无需密码。

那不是一种解脱吗？ 好消息：全球密码灭绝已经发生，而另一边的生活更好。

2022 年底，Apple 推出了对 iOS 16 和 MacOS 13“Ventura”的密钥支持。

昨天，谷歌宣布他们“将在所有主要平台上推出对跨谷歌账户的密码支持。”

在 iThemes，我们感到非常自豪的是，我们的 Security Pro 产品是第一个将密钥和其他无密码身份验证方法引入 WordPress 的产品。

无密码生活如何可能？

在我开始使用 Apple Watch 大约一个月后，它开始自动解锁并登录我运行当前版本 MacOS 的台式机和笔记本电脑。 我不记得除了打开 MacOS 密钥支持以将其与我的 Google 帐户和 iThemes Security 一起使用外，我还做了其他事情。 显然，这也让我的手表成为了一个值得信赖的密钥设备。

以前，Apple Touch 生物识别登录是我拥有的最方便的密码替代方案。 现在是我的手表了。 有时，如果我离开的时间足够长，我仍然需要输入密码，但我的手表让这种情况变得不那么常见了，这要归功于连接到我的 Apple ID 和所有 Apple 设备的通用密码。

硬件密钥，如 YubiKey，将为您提供相同的无密码登录体验——无需 Apple 设备。

Windows 和 Android 设备支持无密码登录，这也要归功于密钥。

什么是密码？

你可以感谢开源的密码。 密码技术基于 FIDO（“快速身份在线”）联盟制定的开放标准。 WebAuthn API 由 W3C 开发，是 FIDO2 标准的一部分。 WebAuthn 使密钥能够快速、轻松地执行跨平台、无密码身份验证。

密钥是由身份验证设备（如您的智能手机）生成的唯一加密数字标识符。 公钥密码术用于创建公钥和私钥对。 这对密钥共同构成了您在验证设备上的密钥。 您的每个设备都可能有一个唯一的私钥，但您的公钥是通过网络共享的。 很可能，你永远都见不到他们中的任何一个。 没人会。

当您输入密码、PIN 或通过生物识别挑战时，您的手机或其他支持密钥的设备会验证您是授权用户。 一旦你这样做了，你的手机和它的密码就可以作为其他设备和应用程序的钥匙。 您不必在笔记本电脑上再次输入密码并再次登录 WordPress，您的手机会告诉您的计算机让您进入。然后它的操作系统告诉您的浏览器要求 WordPress 让您进入——所有这些都不需要密码。

如果您的设备和网站设置了密码，这是一种非常流畅的体验。 您可能需要提供 PIN 或通过快速生物识别挑战，但这比填写三个不同的登录表单而不回收您的密码或使用弱密码要简单得多。 如果您讨厌双因素身份验证 (2FA)，则无需再使用它。 ^1个

为什么万能钥匙会取代密码

最初，密钥是与密码和 2FA 一起作为身份验证选项出现的。 您可以使用其中任何一个。 但随着时间的推移，很少有人愿意保留不安全的密码或处理耗时的 2FA 代码。 由于以下原因，密码将很快成为首选：

1. 增强的安全性。 密钥将取代密码的主要原因之一是它们提供的改进的安全性。 许多数据泄露都是由弱密码或被盗密码造成的，这凸显了传统基于密码的身份验证的脆弱性。 密钥背后的公钥密码系统更难破解。

2. 更好的用户体验。 记住许多复杂的在线帐户密码可能很困难，而且通常会导致密码使用不当。 密钥简化了身份验证过程。 您只需要一个存储密钥的设备即可访问任何支持密钥身份验证的帐户。 这种方便的用户体验鼓励采用密钥作为安全的身份验证方法。

3. 密码管理器 可选。 密钥可能会减少（如果不能消除）对传统密码管理器的需求。 虽然密码管理器提供了存储多个密码的替代方法，但它们也带来了额外的风险。 这些密码库可能成为单点故障。 正如我们在 LastPass 中看到的那样，一个被破坏的密码管理平台可能会暴露其所有客户帐户、密码和个人信息。

无密码的未来：它会是什么样子

万能钥匙取代密码有三大优势，但它们的共同点是万能钥匙既有利于安全性，也有利于简单性。

优点

1. 无缝身份验证。 随着密钥变得越来越普遍，验证和访问在线服务的过程将变得越来越无缝。 用户将能够通过简单地使用他们的密码存储设备或生物特征识别方法（例如指纹或面部识别）来登录他们的帐户。

2. 多重身份验证变得简单。 通过将用户知道的东西（密钥）与用户拥有的东西（存储密钥的设备）结合起来，密钥本质上支持多因素身份验证 (MFA)。 将 MFA 无缝集成到身份验证过程中，将在不牺牲用户体验的情况下打造更安全的在线环境。

3. 减少数据泄露。 随着密钥成为身份验证的新标准，由弱密码或被盗密码导致的数据泄露数量可能会下降。 密钥提供的增强安全性将使网络犯罪分子更难破坏用户帐户，从而带来更安全的数字环境。

到目前为止，安全身份验证带来良好用户体验的情况很少见。 密码是一个很大的例外。 这太棒了，但总有缺点。

缺点

1. 复杂的网络钓鱼和社交黑客攻击。 密码可能几乎不可能被窃取和破解，但当安全性提高时，犯罪分子永远不会放弃——他们会适应新工具并找到被忽视的弱点以加以利用。 今天，人工智能工具让任何人都可以轻松地表现出流利的任何语言，这对于任何想要欺骗他人信任他们的人来说都是一笔巨大的财富。 重大密码泄露事件可能会逐渐成为过去，但网络钓鱼和社交黑客可能会变得更加复杂和普遍。

2. 物理安全和隐私。 当我的左撇子女儿将我的手表戴在另一只手较小的手腕上时，我的 Apple 设备无法分辨出这不是我。 她只需要我的手表和 4 位数的 PIN 码即可登录我的电脑。 ²小偷可以这样做——警察也可以。 ³随着我们与设备的关系在物理上变得更加纠缠，许多关于个人隐私的难题出现了。 ⁴已经在下降的在线匿名可能会消失。

3. 人们也会共享密码。 密码管理器被广泛用于共享密码，这是一种糟糕的安全做法，但它已经完成了。 共享密码最终将成为被盗密码。 幸运的是，您不太可能看到，更不用说记住、写下或通过电子邮件将密钥发送给同事或朋友了。 但是，您现在可以使用一些密码管理器来存储甚至共享密钥。 有安全的方法可以做到这一点，但我怀疑它在实践中的效果如何。 不管你怎么做，共享秘密本质上都是不安全的。 （共享的秘密不再是秘密。）共享敏感数据或信息在很大程度上取决于人与人之间的信任，而这始终是一种薄弱的纽带——参见上面的第 1 点和第 2 点。

安全思维与“别让我思考”

无论无密码的未来面临什么样的挑战，我们都会去那里。 密码被破解——它们是一种糟糕的身份验证方法，需要消失——越快越好。 采用无密码身份验证将改善我们的在线体验并帮助保护我们的数字生活。 不必太担心密码安全和管理是一种巨大的解脱。

另一方面，“Don't Make Me Think”在用户体验和界面设计方面是一个极好的目标，但在安全方面可能是一场灾难。 设计的简单性可以提高用户的效率，并减轻他们的认知负担。 密码非常好地提供了这种简单性。 但它们不应该让我们对威胁不断变化的世界中的潜在安全风险感到更加自满。

由万能钥匙提供支持并在所有主要平台上得到采用，未来的网络将在我们访问在线服务时提供更加安全和用户友好的体验。 努力记住复杂密码（以及共享或回收它们）的日子很快就会成为过去，这是一个明显的进步。

现在也是提高我们的基准安全标准的时候了。 万能钥匙可以做到这一点，我希望这将有助于使网络犯罪、欺诈和身份盗用变得更加困难和罕见。 现在就开始使用它们，如果您有 WordPress 网站，请考虑将密码设置为登录它们的选项。 还要继续考虑安全性。 询问安全意味着什么，以及在没有密码的世界的新环境中威胁会如何变化。

笔记：

1. 诸如“我已将自己锁在数字生活之外”和“Gmail 2FA 导致无家可归者每年 3 次永久无法访问”之类的报告显示了双因素身份验证的缺点。
2. 如果没有像 Touch ID 这样的生物认证，Apple Watch 可能不是最好的安全密钥。 根据 Apple 最近的一些专利，基于掌上电脑的 Touch ID 可能正在开发中。
3. 如果执法部门使用对一台设备的密钥访问来搜索更多设备和在线帐户，电子前沿基金会已经表达了对可能侵犯公民权利的担忧。
4. 从手表和类似​​设备收集的生物数据中识别独特的生物识别特征也是可能的，因为它们可以检测出 COVID 等疾病的早期发作。

丹·克劳斯

Dan Knauss 是 StellarWP 的技术内容通才。 自 1990 年代后期以来，他一直是一名作家、教师和自由职业者，从事开源工作，自 2004 年以来一直从事 WordPress。