在現代互聯網上沖浪，最重要的資産是什麼？毫無疑問是衆多網絡平台下的那一個個賬号，賬号裡面的信息與社交圈脈是現代人在信息社會下的縮影，而密碼作為所有賬号的鑰匙，自然也是重中之重。[得意]

如今的網絡平台通常是以賬号密碼和驗證碼輔助驗證的方式來進行登錄，這似乎已經成為了一種共識，但實際上現在的科技巨頭們，并不認為這是密碼的終極形态。

在最近，谷歌、蘋果以及微軟，都在大力提倡無密碼登錄！聽到無密碼登錄，你可能會有些好奇，甚至覺得有些違反常理，密碼在自己手中，想登錄就登錄才最安全的不是嗎？事實上，在國外的一個組織：FIDO（Fast IDentity Online快速身份識别在線聯盟）認為，密碼身份驗證恰恰是最大的安全問題之一。

在提及如何進行無密碼登錄的方式之前，有必要先來看看這個FIDO是什麼，FIDO聯盟成立于2012年7月，他們緻力于構建一套開放的協議标準，用來改變目前主流的密碼驗證方式，加入的會員都是大公司，像是Google、BlackBerry、ARM、英特爾、PayPal、Lenovo、MasterCard、三星、VISA、Synaptics、RSA、微軟。中國會員有阿裡巴巴、聯想、飛天誠信、支付寶等等以及中國台灣的神盾股份。

因為傳統的密碼登錄方式存在各種問題，比如爆破用戶設置的弱口令、還有獲取到某個級别比較高的管理員密碼之後，就可以通過權限來訪問存儲在數據庫的其他人的密碼，或者是在輸入密碼的時候被截取等等，這些都是真實存在的，就像是報道裡經常出現的外國國家級的基礎設施都存在123456類型的弱密碼，雅虎等大平台密碼數據被扒的事情，或者是早些年網吧裡面經常有的盜号軟件等等。

而不采用密碼驗證身份的話，就算别人拿到了你的密碼，也無法登錄你的賬号，也就加強了安全性。其實這個也很好理解，現在的掃一掃登錄、指紋識别、人臉驗證、U盾、NFC芯片、語音識别、以及之前升級Windows11時需要的TPM可信賴平台模塊，都是在FIDO的協議标準裡面。

FIDO1.0協議分成UAF和U2F兩個大類，UAF的全稱為Universal Authentication Framework protocol，它是一種生物身份識别方式，包括指紋、語音、虹膜、臉部識别等信息，不用密碼就能進行交易操作，大家用過支付寶等其他軟件的指紋驗證都懂，省去了輸入密碼的麻煩。UAF登錄的時候也可以保留密碼驗證的方式，就像是去超市刷臉購物，有時候識别有風險，還會讓你輸入手機号是一樣的。以此來提高賬号的安全性。

而U2F的全稱為Universal Second Factor (U2F) protocol，簡單來說就是雙重驗證，也是讓各大國外遊戲玩家頭疼的二次驗證，除了在登錄的時候使用密碼，還需要一個用來綁定了信息的設備再輸入一個驗證碼。現在這類軟件被叫做登錄器，像是什麼軟件賬号登錄器，谷歌Play登錄器，以及各種遊戲像是Steam和育碧的登錄器，這樣做的好處就是你的密碼就算被釣魚郵件不小心釣走了，那些人也無法登錄賬号，無法冒充你。對，就像是QQ安全中心裡的令牌。

在FIDO1.0出來多年之後，在2018年又與W3C萬維網聯盟推出了FIDO2.0。

這下面又細分為WebAuthn和CTAP協議，這兩個也是如今所廣泛使用的，像是Chrome、Edge、Firefox都支持，更通俗一點，WebAuthn就是在使用QQ或者微信登錄其他平台使用的技術，想想看，如果現在還是用密碼來登錄遊戲，是不是會覺得有些煩人？說起來在很久以前，大家都是用密碼登錄遊戲。

而現在，企鵝靠着強大的用戶數量優勢來扮演着登錄器的角色，很多應用可以使用QQ或者微信登錄，隻是靠着背後提供登錄驗證的技術支持嗎，其實更多的是想構建屬于自己的流量體系。相對的，接入的應用也可以獲取用戶的關系鍊來完善自己的産品，這看上去像是雙赢的局面，但這樣的最終的目的，還是讓強者更強，掌握其他應用的運營信息，知己知彼，以建立自己的玩法體系。

這也是科技巨頭們為什麼如此青睐無密碼登錄的原因，因為旗下的服務足夠多，覆蓋的面足夠廣，所以有這樣的底氣，誰讓客戶養成了無密碼登錄的習慣，也就意味着很大程度把用戶與自己的生态綁定了。也許巨頭們的技術不一定是最頂尖的，但是生态城牆的高度一定會讓後來者感到巨大壓力。

試想一下，在新出的網絡遊戲中無法使用社交平台的賬号登錄，還需要自己手動創建賬号，導緻一大堆賬号需要記。而另一個遊戲直接可以用社交賬号登錄，還可以與好友一起玩，你會選擇哪一個？而WebAuthn類似的技術也是催生出了各種各樣的遊戲渠道服的底層邏輯。

上面說到WebAuthn之外，還有一個CTAP客戶端到認證器的協議，這個也很好理解，藍牙靠近電腦自動解鎖，利用iPhone在沒有指紋模組的MacBook上購買東西，用來驗證與支付，用某一個設備來驗證身份的好處就是不用擔心網絡上搞破壞的家夥了(所以現在的惡意軟件都喜歡搞正大光明的勒索)。

所以說以後大家的注意力應該從網上應該放到身邊的人來了？以後誰的密碼被盜，賬号被盜刷，第一反應就是熟人作案，具體參照：某六旬老太深夜打王者榮耀五殺的奇葩新聞，還有用家長的面部信息給主播打賞幾十萬的熊孩子。

全面無密碼登錄的科技時代也許有一天會到來，但是要等到信息不被竊取的那一天恐怕遙遙無期。就像衆多密碼與信息安全書籍裡面說的一樣，最薄弱的環節不在機器之間的驗證和信任，不在算法與加密的漏洞，更多是在人身上，人為的漏洞不可避免。

計算機相關的薄弱環節不好可以換掉，但是隻有人人加強自身防範意識的這道“個人防火牆”，才能保護好你的個人數據，至于那些看到桃色信息就忍不住一探究竟的人，再好的防護硬件都沒用。還是...找個坑埋了吧，沒法救了。[奸笑]