世界口令日，我们来探讨口令（下）

这是关于无口令化的第二部分，我们来看看无口令世界是什么样子，以及企业该如何过渡到无口令阶段。

从前，保护一个系统只需要一个八位口令，破解它可能需要按年计。现在，更强大的计算机和更先进的算法出现了，使用先进的算法和暴力方法破解一个8位口令所需的时间不超过2.5小时。事实上，最快的处理器每秒可以生成1028亿个哈希。

希望企业员工和消费者能够在没有其他保护措施的情况下创建强大的口令，是一个很愚蠢的想法。不仅是记住复杂的口令特别困难（特别是要求不同应用不同密码的情况），而且也完全不能防止网络钓鱼。虽然12或15个字符的口令更难破解，但是企业必须从根本上重新思考处理口令的方式，特别是在功能更强大的量子计算机出现时。

普华永道（PwC）网络与隐私创新研究所（Cyber and Privacy Innovation Institute）总监Joe Nocera表示：“企业必须寻找机会彻底消除口令，可以选择生物识别技术和token的使用，并基于硬key建立访问控制。”

此外，当无口令系统与IAM、单点登录相结合时，方便性和安全性会提高，成本会下降。

当前，无口令的核心就是FIDO2。这个框架能够使用智能手机上的人脸解锁、指纹识别，或设备上的语音、PIN码进行身份认证。它支持Windows、Mac、Android操作系统。一旦设备身份认证完成，存储在设备可信平台模块（TPM）中的私钥将用于签名，最终用于网站或应用程序的验证。由于TPM无法修改、外部无法访问，只能通过用户验证来签名，换句话说，签名完全可以证明用户。

这套架构看似逻辑简单、但魔鬼在细节。

“这套架构使用了强密钥算法，将其与用户、设备紧密相连。” 微软身份部门负责项目管理的公司副总裁亚历克斯·西蒙斯（Alex Simons）说。“所以，虽然没什么事情是绝对的，但闯入的可能性几乎没有。”

此外，FIDO2框架还内置了额外的保护。例如，系统同硬件key的安全连接一次一秘。这就杜绝了中间人攻击（MITM）。

现在，FIDO2正迅速被采用，并使真正的无口令系统成为可能。尽管科技行业的所有主要参与者都已加入了FIDO联盟，包括苹果、微软、谷歌、亚马逊、英特尔、ARM和高通公司，但向无口令的迁移不是一蹴而就的。到目前为止，大多数完全无口令的组件都出现在加密交易等特定场景中，eBay已经成为第一个完全不使用口令的主要网站，微软也在很大程度上加入了无口令的行列。

eBay在2020年过渡到了无口令框架。首先，它构建了自己的开源FIDO服务器，可以最大限度地控制身份认证管理，然后利用FIDO的UAF协议和基于手机的推送建立第二因子认证。当用户使用支持FIDO2的设备登录时，系统会询问是否开通无口令身份认证。如果选择开通，则需要注册生物特征，之后通过生物特征进行登录，不再需要用户名或口令。目前，账户恢复仍然是通过传统的电子邮件进行重置，不过eBay也在努力使恢复过程免口令。

更令人印象深刻的是微软的无口令进程。云服务Azure以及每台Windows10设备都内置了完整的无口令支持。一个名为Hello的消费平台正在开辟一条通往无口令的道路。微软说，现在每月有超过2亿人通过无口令方式登录他们的计算设备，该技术还允许用户访问服务、站点等。用户通过人脸、PIN进行注册，在支持触摸ID的笔记本电脑上，他们可以添加指纹作为额外的保护，如果多个用户依赖于单个设备，也可以创建多个账户。

此外，微软还引入了一种叫App Pass的认证方式，为老业务应用系统提供无口令支持，它是一个临时的口令，由FIDO2生成。

未来几年，当苹果和谷歌在智能手机和可穿戴设备上全面支持FIDO2无口令认证时，这项技术必然成为主流。

“现在的设备不需要使用口令。” FIDO联盟执行董事兼首席营销官Andrew Shikiar说。“第一步是让用户无需记忆口令，第二步是就是从服务端彻底消灭口令。这将从根本上改变用户体验，代表着网络安全的巨大飞跃。”

届时，消费者和员工将在网站和服务间随意切换，无缝、无形地登录，企业将一劳永逸地摆脱口令重置业务，变得更加安全。无口令化对IAM系统产生了重大影响，如今，IAM系统在混合云平台管理着成千上万的人、机器和物联网（IoT）设备。

对于零售商和其他依赖账户的业务来说，“最大的好处是在开户过程中减少了流失。还可以减少将口令保存在数据库需要遵从的合规问题，同时还可以减少甚至消除账户借用问题。” TransmistSecurity的CEO Mickey Boodaei说，该公司提供了一个基于FIDO2的解决方案，该解决方案可以自动管理注册。

然而FIDO联盟并没有就此止步。上个月，该机构宣布推出FIDO IoT（FDO）协议，这是一种新的开放物联网标准，使设备能够简单、安全地注册到云和内部管理平台。该框架利用非对称公钥口令技术构建了一个设备到设备的安全管理系统。Salah Machani是RSA的主管，工程技术专家，他将该规范描述为“物联网供应链和生态系统安全的关键里程碑”。

目前，Forrester Research高级分析师肖恩·瑞恩（Sean Ryan）建议，企业开始通过基于云和软件即服务（SaaS）的应用程序，转向无口令，并确保用户目录服务和IAM系统能够支持。

此外，“如果您有一个IDaaS[identity-as-a-service]解决方案构建在这个基础上，并使用代填方式登录、并确保口令凭据不被泄漏，同时允许人们使用单点登录方法，那就是无口令的。” 他说。“[最终]你必须分步完成任务，并采取分阶段的方法。”