阅读时间大约9分钟（3316字）

2019-05-10 是时候和密码说byebye了

目前，MobileIron处于无密码理念的前沿。

【猎云网（微信号：ilieyun）】5月10日报道（编译：罗彬杰）

设置和记住各种各样的密码非常麻烦，而且不太安全。新技术将消除对它们的需求，而且很快就可以实现了。

如果我走到你面前，告诉你再也不用输入任何登录密码时，你可能会搂着我，表现得像1945年时代广场的二战胜利纪念日一样激动不已。密码就像是我们数字牡蛎里的砂砾，所有的摩擦都是用武断和过时的规则创建、记忆或管理它们，并且按照时间表修改它们，然后还得正确地输入它们，但遗憾的是，永远不会形成一颗珍珠。（通俗版：我们总是需要根据一些规则来创建和修改密码，并且还需要用各种方式来记住它们，并在需要输入它们的时候回忆起正确的密码，这着实是一件耗费心神，有时还会给你带来不小麻烦的事情。而实际上它的效果和安全性却还是不尽如人意。）

这就是为什么企业安全公司MobileIron升级了它的认证产品套件，允许IT经理不再使用密码，而是依靠移动设备进行所谓的“零登录”访问。该公司依靠现代硬件的安全特性和其他信号，使无密码登录和有密码登录一样安全。

目前，MobileIron处于无密码理念的前沿。但这一举措远没有听起来那么激进，其他公司也在研发相关技术，为用户APP和网站提供更好的安全保障，而我们只需少做输入密码这件事。如果密码确实即将被淘汰，那么它的淘汰将会和你想象的一样令人愉快。

上世纪60年代的技术成为本21世纪的挑战

密码几乎是碰巧才成为身份的认证信息的。据信，它的起源可以追溯到20世纪60年代，当时它被引入麻省理工学院的一个早期分时系统。当时，它提供了一种简单的方法，在世界上几乎没有计算机存在的情况下，将文件保存在一台机器上。

为一台计算机管理一个密码是非常简单的。但没有人会预测到人们最终会有这么多在线数据需要保护。用数十亿台设备乘以数十亿个账户，一段时间以后，密码的数量显然已经无法估量。

密码管理软件，如1Password和LastPass可以提供很大的帮助，但它仍然依赖于密码作为合法性的证明。第二因素认证(2FA)通常被认为是解决密码问题的一种方法，它确实阻止了完全依赖密码的账户劫持状况，但它更像是第二个密码，而不是完全摆脱密码的一种方法。而且2FA不提供对数据的不渗透防御，特别是当这些第二因素通过文本消息发送时。(2016年，NIST发布了一份关于最佳安全实践的白皮书草案，建议将删除短信作为第二个因素，但该草案在2017年发布时有所淡化，删除了这一建议。目前还不清楚这一变化的幕后黑手是谁。)

大多数人仍然不使用密码管理器，这导致许多人选择在组织或站点设置的任何规则下可以使用的安全性最弱的密码。这使得大多数密码在某种程度上高度容易被破解。由于许多企业依赖于大量服务来完成工作，一项允许弱安全性密码的服务(或存在漏洞的服务)可能会使许多其他链接服务变得同样脆弱。

要抛弃密码，就要依赖于身份和访问成对匹配。一旦你通过充分证明你是谁进行了注册，以及你拥有一个需要生物识别技术才能解锁的设备(指纹或面部扫描)，密码就不会再有任何存在的意义了。

MobileIron希望真正依靠其名称中的“mobile”部分。该公司首席执行官Simon Biddiscombe表示：“在过去几年里，有一件事发生了巨大变化，那就是将手机作为员工执行任务的主要设备。”

通过这种“移动优先”或“移动始终可用”的方法，MobileIron可以改变身份验证因素的权重。在多因素安全系统中，这些因素通常被描述为你知道的东西、您拥有的东西和你的身份。你所知道的通常是密码，这是安全的基础。但是，如果安全系统可以基于你所拥有的东西(比如您的移动设备)和你的身份(生物特征参数)授予访问权限，那么你就不需要知道任何东西，也不需要记住密码。

最普遍的例子是移动支付系统，如Apple Pay和谷歌Pay，它允许你注册信用卡或借记卡。当你用这张卡付款时，系统会根据你拥有的东西(你的手机、手表或平板电脑)和你的身份(通过苹果的面部识别或Touch ID等技术进行的生物识别确认)对交易进行授权。Biddiscombe说：“Apple Pay是我最喜欢的一个例子，它是一个消费者应用程序，感觉非常像我们在企业市场所做的事情。”

MobileIron新推出的零密码选项的细节，将对其当前和未来的客户产生重要影响，这些客户将更少地因违规和密码管理而感到压力。但事实上它的影响要广泛得多。在公司层面上抛弃使用密码的颠覆性想法，会让我们深刻了解到，小型企业和消费者市场可能会如何从最令人讨厌的单一密码保护带来的困扰中奋力解脱出来。

密码太多

MobileIron的主要业务是身份验证，所以你可能会认为它会专注于密码，而不是试图摆脱密码。回到iPhone刚推出的时候，公司的创始人就意识到，高管们会购买苹果的手机，并且想要访问电子邮件，而IT部门会对这些他们没有审核过的新设备感到恼火，并对提供安全访问感到焦虑。

近年来，MobileIron已经转向了各种移动(和桌面)端安全性服务，以及跨内部网、云和托管服务的单点登录访问，单个公司的员工可能经常与这些服务进行交互。员工可能同时使用Office 365、Dropbox、Salesforce和企业电子邮件服务器，并且希望能够方便地访问所有这些工具，无论他们身在何处。

Biddiscombe还指出，移动员工的增长不只是企业软件系统传统上关注的白领员工。他们的人数还包括抄表员、包裹递送员、工厂工人、修剪树木的工人、接受租车退货的人，以及其他许多领域的员工。当这些员工通常在外地或在工厂里工作时，给他们设置密码并不能提高他们的工作效率。这损害了公司的整体效率。

在这种情况下，MobileIron听到了大量来自IT客户关于密码之痛的反馈。通过允许企业使用其内部登录来验证对第三方服务的访问，对多个帐户的单点登录（SSO）应该可以减轻一些痛苦。但是SSO仍然意味着需要在在很多地方签名和多次输入密码。

真实存在的问题

MobileIron最近委托对200名高管和其他负责网络安全决策的人进行了一项调查，调查对象大多是雇员超过1000人的公司。接受调查的人表示，他们通过删除密码来将被入侵的风险降低一半。从更广泛的用户调查中还发现，近一半的支持请求与密码或多因素锁定有关。

90%的网络安全负责人表示，被盗的证书导致了未经授权的访问尝试，而高达86%的人表示，如果可能的话，他们会放弃密码的使用。

这些问题和态度，是在安全专家和IT专家多年来试图劝阻公司和个人不要把密码作为最重要的安全手段之后出现的。

FIDO (Fast ID Online)联盟成立于2013年，旨在消除密码作为最重要身份验证元素的模式。该组织的成员几乎包括所有主要的金融、电信、网络和软件公司，包括美国运通、亚马逊、谷歌、Facebook和微软。( 除了AT&T和苹果，几乎所有公司都参与其中。)

FIDO强调使用公钥，这是一种简洁的数学验证方式，它允许人们拥有一个秘密的“私有”密钥，同时分发一个成对的公钥，用于证明他们的身份，或者加密只有他们才能解密的消息。当使用一个支持FIDO的U2F(通用双因素)标准的网站时，用户首先注册并通过多种方式证明自己的身份，包括注册一个硬件令牌——来自于像yubikey这样的公司，该公司构建了一个防篡改的独特的公钥/私钥对。

在随后的访问中，使用U2F的访问者仍然将输入密码作为第一步，然后单击生成和传输签名消息的U2F硬件密钥。与大多数登录不同，验证也是双向的：用户和站点都透明地提交安全凭据，以证明其身份，这有助于防止钓鱼攻击。(Web安全证书的工作原理与此类似，但并不是专门为保护用户帐户而设计的。)

现在想象一下上面的场景，它完全不涉及密码。这就是该联盟的目标，一系列名为FIDO2的新标准使其离现实更近了一步。

通过FIDO2，该规范得到了扩展，不仅允许联盟早期需要的独立硬件密钥，还允许任何拥有一个经过加固的、独立的安全芯片的移动和桌面硬件，来处理加密和生物特征识别。这包括苹果的Secure Enclave，自2013年以来，每一款新iPhone都有这个Secure Enclave；现代Android手机中的各种芯片都遵循类似的原则；以及在许多台式机和笔记本电脑可以找到的可信平台模块(TPM)芯片。而这显然正在成为一个标准特征。

FIDO2可以让应用程序和网站在超过10亿台设备上，甚至是20亿台设备上，获得类似苹果支付的登录体验，而不需要用户额外的输入各种密码。

去年，微软为其账户采用了几种不同的无密码登录选项，其中一些选项依赖于FIDO2。今年2月，谷歌宣布，任何运行version 7及以后版本的Android设备都符合FIDO2标准，为大量用户带来了无密码登录服务。

目前，苹果似乎是任然是坚持不改变的一方，尽管它允许第三方应用程序(但不允许网站)在注册后使用Touch ID和Face ID进行身份验证。如果该公司将其列为优先事项，这可能是支持FIDO2基于web的登录标准跨出的一小步。