互联网巨头都搞起了无密码登录，安全吗？

热点快讯2年前 (2022)发布知客

【福利】绝版流量卡19元/180G，免费领取！🛍️	🎉专享福利！全网购物内部优惠卷领取平台！🎉
100T+网盘资源免费分享！点击此处免费下载！
【APP】🎉每日更新！安卓+电视TV优质VIP优化版软件，免费分享！🎉

在现代互联网上冲浪，最重要的资产是什么？毫无疑问是众多网络平台下的那一个个账号，账号里面的信息与社交圈脉是现代人在信息社会下的缩影，而密码作为所有账号的钥匙，自然也是重中之重。

如今的网络平台通常是以账号密码和验证码辅助验证的方式来进行登录，这似乎已经成为了一种共识，但实际上现在的科技巨头们，并不认为这是密码的终极形态。

在最近，谷歌、苹果以及微软，都在大力提倡无密码登录！听到无密码登录，你可能会有些好奇，甚至觉得有些违反常理，密码在自己手中，想登录就登录才最安全的不是吗？事实上，在国外的一个组织：FIDO（Fast IDentity Online快速身份识别在线联盟）认为，密码身份验证恰恰是最大的安全问题之一。

在提及如何进行无密码登录的方式之前，有必要先来看看这个FIDO是什么，FIDO联盟成立于2012年7月，他们致力于构建一套开放的协议标准，用来改变目前主流的密码验证方式，加入的会员都是大公司，像是Google、BlackBerry、ARM、英特尔、PayPal、Lenovo、MasterCard、三星、VISA、Synaptics、RSA、微软。中国会员有阿里巴巴、联想、飞天诚信、支付宝等等以及中国台湾的神盾股份。

因为传统的密码登录方式存在各种问题，比如爆破用户设置的弱口令、还有获取到某个级别比较高的管理员密码之后，就可以通过权限来访问存储在数据库的其他人的密码，或者是在输入密码的时候被截取等等，这些都是真实存在的，就像是报道里经常出现的外国国家级的基础设施都存在123456类型的弱密码，雅虎等大平台密码数据被扒的事情，或者是早些年网吧里面经常有的盗号软件等等。

而不采用密码验证身份的话，就算别人拿到了你的密码，也无法登录你的账号，也就加强了安全性。其实这个也很好理解，现在的扫一扫登录、指纹识别、人脸验证、U盾、NFC芯片、语音识别、以及之前升级Windows11时需要的TPM可信赖平台模块，都是在FIDO的协议标准里面。

FIDO1.0协议分成UAF和U2F两个大类，UAF的全称为Universal Authentication Framework protocol，它是一种生物身份识别方式，包括指纹、语音、虹膜、脸部识别等信息，不用密码就能进行交易操作，大家用过支付宝等其他软件的指纹验证都懂，省去了输入密码的麻烦。UAF登录的时候也可以保留密码验证的方式，就像是去超市刷脸购物，有时候识别有风险，还会让你输入手机号是一样的。以此来提高账号的安全性。

而U2F的全称为Universal Second Factor (U2F) protocol，简单来说就是双重验证，也是让各大国外游戏玩家头疼的二次验证，除了在登录的时候使用密码，还需要一个用来绑定了信息的设备再输入一个验证码。现在这类软件被叫做登录器，像是什么软件账号登录器，谷歌Play登录器，以及各种游戏像是Steam和育碧的登录器，这样做的好处就是你的密码就算被钓鱼邮件不小心钓走了，那些人也无法登录账号，无法冒充你。对，就像是QQ安全中心里的令牌。

在FIDO1.0出来多年之后，在2018年又与W3C万维网联盟推出了FIDO2.0。

这下面又细分为WebAuthn和CTAP协议，这两个也是如今所广泛使用的，像是Chrome、Edge、Firefox都支持，更通俗一点，WebAuthn就是在使用QQ或者微信登录其他平台使用的技术，想想看，如果现在还是用密码来登录游戏，是不是会觉得有些烦人？说起来在很久以前，大家都是用密码登录游戏。

而现在，企鹅靠着强大的用户数量优势来扮演着登录器的角色，很多应用可以使用QQ或者微信登录，只是靠着背后提供登录验证的技术支持吗，其实更多的是想构建属于自己的流量体系。相对的，接入的应用也可以获取用户的关系链来完善自己的产品，这看上去像是双赢的局面，但这样的最终的目的，还是让强者更强，掌握其他应用的运营信息，知己知彼，以建立自己的玩法体系。