V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
• 请不要在回答技术问题时复制粘贴 AI 生成的内容
flyhaozi
V2EX  ›  程序员

看了 V2 这么多密码讨论贴,心中只有一个想法:究竟什么时候能把密码给淘汰了?

  •  
  •   flyhaozi ·
    yuhaofe · 218 天前 · 4152 次点击
    这是一个创建于 218 天前的主题,其中的信息可能已经有所发展或是发生改变。
    35 条回复    2024-05-24 19:26:46 +08:00
    LnTrx
        1
    LnTrx  
       218 天前   ❤️ 2
    对于非专业用户,手机号+验证码还是最方便,国内还能顺便落实实名制。毕竟来一句密码忘了/验证器删了/Key 掉了还得用其他方法来验证。
    对于专业用户,Yubikey 这种推广的麻烦点还是在于成本,基于设备本身安全芯片的 Passkey 可能会应用更广。
    mooyo
        2
    mooyo  
       218 天前   ❤️ 1
    passkey 挺好的,但是国内特色安全体系下估计是推不开的。
    shijingshijing
        3
    shijingshijing  
       218 天前   ❤️ 11
    把密码淘汰了,按国内的尿性,绝壁会让你全部人脸的。
    gransh
        4
    gransh  
       218 天前   ❤️ 4
    你们推崇的一切比密码更安全的方式都是基于用户记不住密码这个前提的,对于我来说最安全的就是每个网站设置不同的密码并且靠脑子记住
    maggch97
        5
    maggch97  
       218 天前 via iPhone   ❤️ 1
    钢筋:你的 passkey 存储就安全了?苹果不会查看你的 passkey ?


    说点现实的,passkey 之后还是要拿 token ,偷 cookie 不可避免
    agagega
        6
    agagega  
       218 天前 via iPhone   ❤️ 3
    据我的观察,上点年纪特别文化不太高的人对密码这个概念是非常抵触的,连银行卡的六位数字密码都不想要。有些老人在 ATM 取钱的时候会口述让银行工作人员帮他输密码,但工作人员因为规定不能这样做,有时候还能见到他们吵起来。

    网龄长点的年轻人好一些,但他们使用的密码依然非常简单,更不必提什么不同网站不同密码或者定期轮换密码了。即使是技术人员,不关注这些事的也不在少数,能用 Chrome 自带密码本保存密码已经胜过很多人。

    所以取代密码的新方式对他们而言肯定是有进步意义的。国际通用的 TOTP 和 WebAuthn 这些协议和实名制并不冲突,国内服务不用就是因为大厂垄断心态作祟,外加「这个东西可能有人不会用」的产品思维惯性。
    maggch97
        7
    maggch97  
       218 天前 via iPhone   ❤️ 1
    @maggch97 现阶段最安全的方法就是只用 iPad 和 iPhone ,只用 Safari
    SkywalkerJi
        8
    SkywalkerJi  
       218 天前   ❤️ 2
    手机验证的,出国就寄了。没有国际漫游直接收不到短信。
    VjOQbV46sC4f9emh
        9
    VjOQbV46sC4f9emh  
       218 天前   ❤️ 1
    其实最好的办法就是将 chrome 那一套域名密码本和各类型软件、手机 app 整合起来,共用一套密码管理系统,不同应用自动生成随机强密码。
    LanhuaMa
        10
    LanhuaMa  
       218 天前   ❤️ 1
    @BrokenPipe keepass
    kneo
        11
    kneo  
       218 天前 via Android   ❤️ 3
    手机验证码登陆,最大的不安全是你手机号换了怎么办?

    你不可能把所有的账号都改一遍手机号,总有那些不常用的不再用的会漏掉没改,甚至有的都不支持改号。然后捡到你手机号的人就好像看到你裸体一样了。
    dobelee
        12
    dobelee  
       218 天前   ❤️ 1
    passkey 是不可能在国内推广的。现在用帐号密码登录的 app 都很少,大部分强制手机验证码了,被风控还要人脸或者身份证。
    maggch97
        13
    maggch97  
       218 天前 via iPhone   ❤️ 1
    @BrokenPipe iOS 就是这样
    jeesk
        14
    jeesk  
       218 天前 via Android   ❤️ 1
    学学 supercell 没有密码, 只有验证码,自己保证自己的安全性。
    NXzCH8fP20468ML5
        15
    NXzCH8fP20468ML5  
       218 天前   ❤️ 1
    国内巴不得不要密码,通通要指纹,手机号,人脸识别,掌纹,免密,虹膜,进行登录和付款。
    VjOQbV46sC4f9emh
        16
    VjOQbV46sC4f9emh  
       218 天前   ❤️ 1
    @LanhuaMa 好!
    VjOQbV46sC4f9emh
        17
    VjOQbV46sC4f9emh  
       218 天前   ❤️ 1
    @maggch97 苹果 PassKey 的问题是只能在自家平台使用,其他设备做不到共通互用。
    fkdtz
        18
    fkdtz  
       218 天前   ❤️ 1
    这是一个很有趣的问题,发散开来有很多可以讨论的,我想到了一些点,内容比较多,结论是短信验证可能是现阶段最自然、成本最低的一种方案。

    十年前人们可能并不会提出「为什么要搞这么多密码」这样的问题,因为那个时候网站也好移动 App 也好并不像今天这么丰富,而且用户的安全意识可能也并没有今天这么强,基本上都是一套账号密码走天下,在账号密码方面基本没啥痛点。

    十年后的今天各种网站、移动 App 以及很多新兴模式的在线服务可以说数不胜数,琳琅满目,基本上人们的衣食住行日常生活都离不开在线服务,与此同时用户的安全意识也在增强,不会再使用同一套账户密码去注册所有的服务,这就带来一个现实问题,应该如何记住这些账户密码?可能有的人会用一个电子笔记本记下所有账户,也有的人设置的密码是有一定变换规则,还有人使用软件帮忙管理密码,但上述方案也各有各的问题不够完美。

    提出为什么要搞这么多密码这一问题之前,让我们回头想想人们到底为什么需要密码,根本目的在于人们需要在使用服务之前证明我是我。想要证明我是我看上去很荒谬,但如果想做到绝对意义上的证明实际上是一件很困难的事,你必须依靠一些你以外的东西反过来证明你自己,不扯那么远我们只讨论现实可行的方案,之所以需要用到密码,这背后默认的前提是别人不知道我的密码,知道这个密码的一定是我。那么如果不想要密码,又想证明我是我,那是否可以找一个只有我知道而别人不知道的东西呢?

    如果按这个思路去想,目前国内主流的手机短信验证码其实是最自然的一种方案:
    随着移动互联网的爆发,手机已经成了人的延伸,是现实世界与虚拟世界之间的 socket ,现实与虚拟就是通过这一块小小的玻璃板双向通信,换句话说在虚拟世界里,你的手机就是你,手机短信也只有你自己知道。

    这里并不是吹捧短信验证,我知道这背后还有实名制和审查的考虑,但从事实出发短信验证就是目前最自然的方案,这个自然指的是对用户、服务提供商、监管这三方的需求都能满足且不需要花很大成本。

    虽然短信验证是一个比较自然的方案,但却不是一个完美的方案,如果别人拿到了我的手机卡那我就成了替身了。回到问题的本质,证明我是我更进一步的方案是生物识别,例如指纹、面容、虹膜等等,虽然这个方案比短信验证更接近问题本质,但却隐含了另一个问题,既隐私问题。可能会有人有这种顾虑:录入了面容之后我的信息会不会被滥用?会不会被出卖?有多少人愿意承担可能存在的隐私风险,来换取理论上更进一步的账户安全呢?这就好像在做架构中的 trade-off ,系统的可用性和一致性没办法既要又要,只能是牺牲一点这边从而换来提升一点那边。

    那么假如有一个绝对权威公正的认证服务呢?人们只要在这里录入生物特征,之后所有的在线服务都接入到这个认证服务中验证用户身份,倒也不是没可能,SSL 证书颁发机构不就是这种形式吗,通过证书验证网站是不是真正的网站。
    但方案理论可行实际上很难推广,确切的是没有动力推广,毕竟服务提供商也乐见用户使用手机号登录,毕竟有了手机号还可以做很多营销或者召回策略。
    那为什么 CA 证书颁发的模式就可以推广下来呢?也是成本问题,因为早期的电商钓鱼网站和中间人给交易双方带来的损失大于成立一套 CA 认证的成本。
    同样的道理在如何登录这件事上,用户属于弱势的一方,除非用户和服务商的利益受到的损失超过了建立一套新的认证体系的成本,否则很难推动,而现阶段短信验证码就是最自然可行、成本最低的一种方案。
    mizuhashi
        19
    mizuhashi  
       218 天前   ❤️ 1
    搭個 oauth 服務器很簡單,只要自己擁有域名,可以讓所有其他網站來自己域名上認證
    orioleq
        20
    orioleq  
       217 天前 via iPhone   ❤️ 1
    手机号+人脸识别最方便靠谱,普通网站其实安全要求没那么高,换手机号了用注册邮箱改就行了。遇到过好多小网站还要求密码复杂度必须含大小写数字和特殊字符和长度限制,每次注册我就觉得是钓鱼我密码的…
    cmdOptionKana
        21
    cmdOptionKana  
       217 天前   ❤️ 1
    我只相信密码,非常讨厌各种取代密码的方式。

    密钥 Passkey 或者 Yubikey 本质上也是密码而已。

    手机号+验证码非常恶心,增加了一大堆被攻破的点,同时还搞得手机号码被绑架,换号成本奇高无比。
    cmdOptionKana
        22
    cmdOptionKana  
       217 天前   ❤️ 1
    @orioleq 安全要求不高的网站,输入密码本身就是个极低频的操作,一般都是长期免输入密码的,对于一个极低频操作,我认为各种方式差别都不大。
    leonshaw
        23
    leonshaw  
       217 天前 via Android   ❤️ 4
    在 MFA 里是不同的因素,passkey, OTP 和短信都属于 "something you have", 密码属于 "something you know", 生物信息属于 "who you are".
    crackidz
        24
    crackidz  
       217 天前   ❤️ 1
    Passkey 是一个对用户理解成本非常高的方式,除非你的用户群体技术 Nerd 为主,否则上这玩意的教育成本和客诉成本会非常高。当然,给这么一个选项倒是无所谓,但是这肯定是 todo list 里非常靠后的 feature 了。
    billgong
        25
    billgong  
       217 天前   ❤️ 1
    @fkdtz x509 client certificate 就是搞这个的,软件版一些银行签发客户端证书的网银,硬件版比如 DoD CAC 或欧盟身份证,都是这样的。最大的问题是你怎么强推这种中心化的认证体系。
    flyqie
        26
    flyqie  
       217 天前 via Android   ❤️ 1
    密码是唯一一个最低成本、最好兼容性、最低依赖的方案。

    至于安全性,实际上是把这个选择权交给了人。
    flyqie
        27
    flyqie  
       217 天前 via Android   ❤️ 1
    @flyqie #26

    而且密码也是人类社会长期存在并使用的一种基础认证方式,所以淘汰我觉得是不可能的。
    lin7946
        28
    lin7946  
       217 天前   ❤️ 1
    生物特征的不可变性,这东西就很不安全,不然被人破译了,你甚至都没办法改(试过大半夜在跟盗号的不停在改密码对抗
    TimPeake
        29
    TimPeake  
       217 天前   ❤️ 1
    电子产品都上生物密码识别就好了
    busterian
        30
    busterian  
       217 天前   ❤️ 1
    我觉得最方便的还是自动填充+指纹登录,密码库云同步就行了(我是因为这个才知道 onedrive 手机端不支持共享本地文件夹的)
    ltkun
        31
    ltkun  
       217 天前   ❤️ 1
    @gransh 你这是爱因斯坦的脑子吗?几百个网站哈
    LokiSharp
        32
    LokiSharp  
       217 天前   ❤️ 1
    有没有可能,你说的解决方案都只是隐藏的密码?
    K2
        33
    K2  
       217 天前 via iPhone   ❤️ 1
    看了 Google one 暗网监控泄漏的密码记录,还是需求一种可以无视泄漏的方式。
    gransh
        34
    gransh  
       217 天前 via iPhone
    @ltkun 自编一套算法啊,用的时候算一下
    gransh
        35
    gransh  
       217 天前 via iPhone
    @ltkun 不过辣鸡小网站还是一码通
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   943 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 22ms · UTC 22:25 · PVG 06:25 · LAX 14:25 · JFK 17:25
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.