本周，微软密码、身份和认证团队经理Yogesh Mehta 发布一则声明表示，「8亿使用Windows 10的人更接近没有密码的世界」，此前关于下一代WIN10将取消密码的传言得到了证实。

据悉，5月更新的Windows10中，密码替代品Windows Hello已完全通过FIDO2的认证——该联盟是Fast Identity Online的缩写，这一行业组织的使命是，通过使用开放标准来推动能够安全替代密码的技术，从而解决密码问题。

「没有人喜欢密码，黑客除外，」 Yogesh Mehta写道。「人们不喜欢密码，因为我们必须记住它们。因此，我们经常创建易于猜测的密码——这些密码则成为黑客试图访问我们计算机网路的第一个目标。

目前，使用1903版本Windows10的用户将能够使用生物特征或PIN码（非密码）登录设备、应用程序和在线服务。

「杀死」密码的Windows Hello

Windows Hello是微软2015年推出的个性化计算功能。基于生物识别技术，Windows Hello只需使用指纹，虹膜扫描或面部识别功能即可对其设备，应用程序，在线服务和网路的安全访问进行身份验证。本质上是密码的一种替代方式，被广泛认为是比传统的使用密码登录更方便用户访问关键设备，服务和数据的安全可靠的方法。

该程序利用FIDO U2F（通用第二因素）开放标准，让用户可以轻松地利用蓝牙、近场通信(NFC)或USB登录在线服务和应用程序。它由谷歌和Yubico共同开发，之后将由FIDO(快速身份在线)联盟监管。

Moor Insights＆Strategy总裁兼首席分析师Patrick Moorhead表示：「Windows Hello解决了一些问题：安全性和不便。「传统的密码是不安全的，因为它们很难记住，所以人们要么选择易于猜测的密码，要么写下他们的密码。」

和苹果的Face ID或Touch ID一样，Windows Hello旨在提供替代密码的独特且更安全的密码，因为它依赖于难以破解的技术。

Windows Hello登录平台内置于广泛的Windows 10操作系统中，无需安装单独的专用硬体，这是它最大的优势。

去年11月，微软增加了使用Windows Hello或符合FIDO2标准的外部身份验证器安全登录Microsoft帐户的功能，用户无需使用密码即可登录。这一举措让微软向「废除」密码的道路上又迈进了一步。

上个月，微软透露，他们将会取消密码过期策略（即要求用户定期更改登陆密码），并从其Windows 10 1903安全基线设置中删除。如今，微软正在鼓励其他公司和软体开发人员采用类似的免密码方法。

无密码认证对于安全性来说是一个巨大的进步，由于没有通过Internet发送密码，因此也没有密码可以轻易泄露出去。

此举预计还将加速向无密码网路的过渡。几个月前，Mozilla Firefox、Microsoft Edge、Opera和谷歌Chrome都增加了对WebAuthn的支持，这意味著，在Microsoft Edge、Google Chrome和Mozilla Firefox上，微软用户可以使用面部识别和指纹感测器登录。

能够避免密码被盗的FIDO2

通常情况下，当系统提示用户登录服务时，用户使用用户名和密码通过Web安全地发送到网站，然后验证用户名/密码确定用户身份的组合。

然而，一旦用户与网站、app等服务共享身份密码等消息，用户无法控制这些背后的公司对数据的使用，包括是否得到了安全的储存、是否利用数据进行侵犯隐私的行为，或者在发生信息泄露时用户个人信息是否能得到保护。

FIDO2的不同之处在于，用户不必设置密码，因为它使用公钥加密（PKE）进行身份验证，其中涉及使用一对加密密钥：一个秘密的私钥，以及广泛传播的公钥。

公钥加密的原理如下：如果A向B发送消息并且不希望任何其他人读取其内容，她可以使用B的公钥加密该消息。当B收到加密的消息时，他会使用他的私钥来读取。

或者，它也可用于验证用户的身份。在这种情况下，发件人A用她的私钥加密邮件并将其发送给收件人，然后收件人就可以使用A的公钥解密邮件，从而确认加密邮件来自A。

FIDO2使用第二种方法进行身份验证——当用户尝试注册一个服务时，网站可以使用嵌入在其web页面中的特殊JavaScript代码进行身份验证，而不是使用常规的登录表单来输入用户名和密码。

该特殊代码遵循WebAuthn API标准，允许用户在Web浏览器创建和管理登录网站所需的加密凭据。简而言之，这是一个基于JavaScriptde密码自动填充工具，也充当著客户端、浏览器和网站Web伺服器之间的中间人。

密钥生成的过程就是身份验证器发挥作用的地方。它们可以原生地集成到操作系统中，如谷歌的Android和Windows Hello人脸识别系统，甚至是智能手机那样的外部认证器。

为了支持广泛的身份验证器，同样重要的是，设备制造商必须同意一组关于浏览器和身份验证器如何有效地相互通信的协议——这些规则统称为CTAP (Client to Authenticator协议)，通过CTAP使浏览器能够通过蓝牙、NFC或USB等多种方法与外部身份验证器通信。

当用户使用Chrome或Firefox登录网站时，伺服器会发送一个challenge，通常是一个非常大的随机数，登录页面中的JavaScript代码使用WebAuthn API提示浏览器使用私钥加密消息。然后，浏览器将challenge卸载给验证器,验证器会提示用户允许这样做。

此时，用户将手指放在验证器的指纹扫描仪上，如果是Windows Hello也可以用面部识别——一旦验证者确认了你的生物识别信息，它就会使用私钥对challenge进行加密，并将其传递回Web浏览器，然后将其传递回网站客户端的JavaScript代码，最后返回网站的伺服器。（如图所示）

无密码WIN10能保护你的个人隐私吗？

无密码身份验证是安全性的一大胜利。事实上，自2015年推出Windows Hello以来，该公司在消除密码方面已经取得了巨大进展。

虽然它背后的技术要比发送简单的用户名/密码组合复杂得多，但作为用户不必记住或输入密码，既证明了自己的身份，也没有透露任何有关个人隐私的信息。

互联网时代的隐私安全问题一直以来为人们所诟病，传统「用户名/密码」的验证方式，随机性大、安全性低，人们往往为了方便好记，会采用极其简单的排列组合数字，在大数据面前，别说黑客，甚至挡不住普通人的侵扰：

尽管网站一再推荐用户设置安全性高的密码，比如这样：

但这种复杂程度无异于记住一堆乱码。

而像Windows Hello这样拥有生物识别技术的身份验证方式，特异性强、破解难度高，提高安全性的同时大大减少了用户设置不同密码的麻烦。

随著Android和Windows10等平台为10亿个活跃设备提供服务，这一转变将提高数亿用户的安全性，希望将来能有更多的系统纳入该标准。

推荐阅读：