最近微軟安全部門的副總裁 Vasu Jakkal 宣布了一條,讓各位微軟用戶甚至欣慰的通告:微軟用戶在登入微軟旗下的賬號時,不需要再輸入煩人的密碼了。
這消息,對于很多像世超這樣的“ 記密碼困難戶 ”來說,簡直就是個“ 造福人類 ” 好消息了,畢竟誰喜歡記憶一大堆的密碼呢?
其實早在 2017 微軟就嘗試用 Microsoft Authenticator 讓用戶免密登入微軟賬戶。
差友們可以把這個 Microsoft Authenticator 簡單的理解為一個微軟在行動電話上的一個安全令牌,當你想要登入微軟的賬號時,這個安全令牌就會收到一個個人識別碼,
用這串數字來來確認你的身份,這種安全驗證的模式,相信差友們應該不會陌生,不知道還有多少差友記得十年前,YouMeLive做過一個叫做將軍令的東西。
跟一個 MP3 差不多大小,這玩意每過 60 秒就會更新一個新的秘鑰,差友們可以簡單的理解為:微軟把這玩意做成了一個 App ,放在你的行動電話上,用來代替密碼登入,
2018 年微軟對自己的無密碼登入進行了進一步的升級,加入了指紋登入、攝像頭面部識別等安全驗證的方式。
并且還把自己的 Edge 瀏覽器和用戶的 Windows 10 電腦進行了一個賬號的綁定,只要你用自己的 Windows 10 電腦登入微軟的賬號,電腦就會自動識別,完成安全驗證,
這種綁定Windows 10 電腦的操作,對于很多用戶來說真的是很友好了,畢竟誰愿意記這么多復雜的的密碼呢?
到了2020 年 5 月,微軟公司的透露,每月已經有 1.5 億的用戶在使用無密碼登入了,并且這個數字還一直都在增加,看來使用無密碼登入覺得算是個眾望所歸的決定了,
為了更好的推動無密碼登入的發展,微軟還把如何使用 Microsoft 賬號進行無密碼登入的操作操作步驟,寫進了他們的用戶幫助文檔里,
并且在第一行,還明確表示了無密碼登入是:新一代安全性、簡單、快速、安全的驗證方式,
其實微軟這次的無密碼登入,并沒有什么讓人眼前一亮的黑科技,用的技術都是現有的安全驗證的辦法,只不過這次微軟直接把設置密碼這道程式都省略了,
支持用戶不設置密碼,就能夠登入賬戶。
并且微軟還給安全驗證做了個詳細的分級,單純的密碼登入被羞恥的掛在了安全性最差的榜單上。
其實那就現在的網路安全環境,單純的密碼登入也確實少見了。
而微軟說單純的密碼驗證,是目前安全性最差的加密方式也是有一定道理的。
為了圖省事,相信很多人來回來去,用的就是這么幾套密碼比如:姓名縮寫+出生日期;或是字母組合+行動電話號碼啥的。
沒錯,說的就是在看文章的各位!
而這些簡單密碼,說到底是字母和數字的排列組合~
黑客們用“ 暴力破解 ”的笨辦法,就有可能攻破這種類型的密碼。
別看黑客們平時在網路上總是被吹捧的特別“ 神秘 ”、“ 高端 ”,其實這種“ 暴力破解 ”密碼的手段,在黑客盜用密碼時是最常見的。
從理論上說,只要把所有的字母+數字的可能性都試一遍,總有一次找到正確的密碼。
舉個極端的例子,假如用無限只猴子放在無限的空間里,讓它們一只不停的敲擊鍵盤,總有一天有一只猴子能夠敲出一本《 莎士比亞 》。
當然了,這個理論不是我說的,而是出自埃米爾·博雷爾一本在 1909 年出版談概率的書,
而黑客們只需要寫一個程式,把任何密碼的組合試一遍,按照現代計算機達到每秒幾十億次的計算速度,這不相當于有每秒有幾十億只猴子,在打字機前幫他試密碼嘛。,。
不過為了應付黑客們這種“ 暴力破解 ”,現在的密碼加密都加入了加密算法,比如:簽名算法、對稱加密算法、DH 秘鑰交換算法等等,
這些加密算法的原理是對明文的密碼繼續某種算法處理,讓它成為不可讀的代碼“ 密文 ”,使其內容變得不可讀,通過這樣的方式讓來保護數據不被非法人竊取、閱讀的目的,
所以黑客想要用“ 暴力破解 ”的方式,破譯你的密碼計算量是十分龐大,除非他們使用量子計算機,要不然等待一個密碼破譯的時間,黃花菜都涼了。
所以黑客還會在破譯你密碼時,加入一些統計學的東西。
根據密碼管理公司 NordPass 在資料庫在對近 2.757 億個密碼進行審查后,發布了 2020 年網上賬戶最常用的 200 個密碼名單。
不出所料啊,123456 又一蟬聯 “ 最爛密碼榜的第一名 ”。
而如果黑客提前知道了你的姓名、行動電話號等等個人資訊,那么在“ 暴力破解 ”你的密碼,就極大的降低了他們試錯的成本,
當然了,為了預防這種“ 暴力破解 ”的黑客攻擊,廠商們也想了很多方法,相信經常忘記密碼的各位都經歷過,需要做密碼驗證的痛苦經歷。
有時候是讓你輸入一串怪異的驗證字母,有時候則是讓你在圖片里找不同,
這些連小朋友都會做的事,其實就是在測試在電腦前輸入密碼的到底是不是人,
不過道高一尺魔高一丈,除了這種“ 暴力破解 ”的手段,黑客還會用撞庫的手段來破譯你的密碼。
撞庫,就是拿著網路上已經泄露的密碼和賬號,去嘗試破解另一個網站。相信差友都習慣把很多賬號的密碼都設置成一樣的。
畢竟這樣比較省時省力嘛,也算是人之常情了,但是這一點也會被黑客給利用,所以世超強烈建議在一些涉及金融安全的賬號上,最好別用一樣的密碼,
否則很容易被黑客“ 一鍋端 ”了。
所以 iOS 的鑰匙串 或者 Chrome 的一些密碼管理插件,都會自動幫你生成一串又臭又長的隨機密碼并且保存在系統上,這些措施都在變相的增加,黑客破譯你密碼的難度。
密碼這種加密手段雖然是現在最普及最常見的,卻不一定是最安全的,而現在也慢慢的出現了一些更加高級的加密手段,比如行動電話驗證碼登入、指紋密碼、面容識別等等。
現在主流的安全驗證都采用的是兩步驗證的方法,
差友們最常見的就是密碼+短信驗證這種形式了,除了短信驗證還有 PIN 碼、一次性秘鑰等等二次驗證方式。
而無密碼登入的這種形式,在行動電話上也很常見了:現在的智能行動電話不帶個指紋解鎖或者面部識別,都不好意思拿出來賣,
現在的 iOS 系統,也早早了適配了用面容 ID 代替密碼輸入的無密碼登入了。
另外一些帶指紋識別的安卓行動電話,也同樣支持用指紋代替密碼輸入的安全驗證模式了。
這些登入方式,其實本質上也是無密碼登入的一種形式,
從長遠來看,密碼登入這種形式并不會這么快被淘汰。
比如現在的設備不適配,老舊系統不兼容,就是現在的無密碼登入面對的一大難題,
差友們可以想象一下,當所有 App 都在行動電話上適配了無密碼登入比如指紋、面容這種需要硬件支持的無密碼登入。
那么那些使用老人機的朋友,怎么登入自己的賬號呢?
從目前密碼登入是最高效、普及的登入方式,不過微軟作為一家體量如此巨大的互聯網公司,已經在往前走了,邁出了無密碼登入普及的一大步。
遲早使用密碼登入會成為下一個時代的眼淚,
或許十年之后,當我們再跟自己的孩子聊起密碼時,他們會好奇的問我們:密碼是什么?
