本週，微軟密碼、身份和認證團隊經理Yogesh Mehta 發布一則聲明表示，「8億使用Windows 10的人更接近沒有密碼的世界」，此前關於下一代WIN10將取消密碼的傳言得到了證實。

據悉，5月更新的Windows10中，密碼替代品Windows Hello已完全通過FIDO2的認證——該聯盟是Fast Identity Online的縮寫，這一行業組織的使命是，通過使用開放標準來推動能夠安全替代密碼的技術，從而解決密碼問題。

「沒有人喜歡密碼，黑客除外，」 Yogesh Mehta寫道。「人們不喜歡密碼，因為我們必須記住它們。因此，我們經常創建易於猜測的密碼——這些密碼則成為黑客試圖訪問我們計算機網路的第一個目標。

目前，使用1903版本Windows10的用戶將能夠使用生物特徵或PIN碼（非密碼）登錄設備、應用程序和在線服務。

「殺死」密碼的Windows Hello

Windows Hello是微軟2015年推出的個性化計算功能。基於生物識別技術，Windows Hello只需使用指紋，虹膜掃描或面部識別功能即可對其設備，應用程序，在線服務和網路的安全訪問進行身份驗證。本質上是密碼的一種替代方式，被廣泛認為是比傳統的使用密碼登錄更方便用戶訪問關鍵設備，服務和數據的安全可靠的方法。

該程序利用FIDO U2F（通用第二因素）開放標準，讓用戶可以輕鬆地利用藍牙、近場通信(NFC)或USB登錄在線服務和應用程序。它由谷歌和Yubico共同開發，之後將由FIDO(快速身份在線)聯盟監管。

Moor Insights＆Strategy總裁兼首席分析師Patrick Moorhead表示：「Windows Hello解決了一些問題：安全性和不便。「傳統的密碼是不安全的，因為它們很難記住，所以人們要麼選擇易於猜測的密碼，要麼寫下他們的密碼。」

和蘋果的Face ID或Touch ID一樣，Windows Hello旨在提供替代密碼的獨特且更安全的密碼，因為它依賴於難以破解的技術。

Windows Hello登錄平臺內置於廣泛的Windows 10操作系統中，無需安裝單獨的專用硬體，這是它最大的優勢。

去年11月，微軟增加了使用Windows Hello或符合FIDO2標準的外部身份驗證器安全登錄Microsoft帳戶的功能，用戶無需使用密碼即可登錄。這一舉措讓微軟向「廢除」密碼的道路上又邁進了一步。

上個月，微軟透露，他們將會取消密碼過期策略（即要求用戶定期更改登陸密碼），並從其Windows 10 1903安全基線設置中刪除。如今，微軟正在鼓勵其他公司和軟體開發人員採用類似的免密碼方法。

無密碼認證對於安全性來說是一個巨大的進步，由於沒有通過Internet發送密碼，因此也沒有密碼可以輕易泄露出去。

此舉預計還將加速向無密碼網路的過渡。幾個月前，Mozilla Firefox、Microsoft Edge、Opera和谷歌Chrome都增加了對WebAuthn的支持，這意味著，在Microsoft Edge、Google Chrome和Mozilla Firefox上，微軟用戶可以使用面部識別和指紋感測器登錄。

能夠避免密碼被盜的FIDO2

通常情況下，當系統提示用戶登錄服務時，用戶使用用戶名和密碼通過Web安全地發送到網站，然後驗證用戶名/密碼確定用戶身份的組合。

然而，一旦用戶與網站、app等服務共享身份密碼等消息，用戶無法控制這些背後的公司對數據的使用，包括是否得到了安全的儲存、是否利用數據進行侵犯隱私的行為，或者在發生信息泄露時用戶個人信息是否能得到保護。

FIDO2的不同之處在於，用戶不必設置密碼，因為它使用公鑰加密（PKE）進行身份驗證，其中涉及使用一對加密密鑰：一個祕密的私鑰，以及廣泛傳播的公鑰。

公鑰加密的原理如下：如果A向B發送消息並且不希望任何其他人讀取其內容，她可以使用B的公鑰加密該消息。當B收到加密的消息時，他會使用他的私鑰來讀取。

或者，它也可用於驗證用戶的身份。在這種情況下，發件人A用她的私鑰加密郵件並將其發送給收件人，然後收件人就可以使用A的公鑰解密郵件，從而確認加密郵件來自A。

FIDO2使用第二種方法進行身份驗證——當用戶嘗試註冊一個服務時，網站可以使用嵌入在其web頁面中的特殊JavaScript代碼進行身份驗證，而不是使用常規的登錄表單來輸入用戶名和密碼。

該特殊代碼遵循WebAuthn API標準，允許用戶在Web瀏覽器創建和管理登錄網站所需的加密憑據。簡而言之，這是一個基於JavaScriptde密碼自動填充工具，也充當著客戶端、瀏覽器和網站Web伺服器之間的中間人。

密鑰生成的過程就是身份驗證器發揮作用的地方。它們可以原生地集成到操作系統中，如谷歌的Android和Windows Hello人臉識別系統，甚至是智能手機那樣的外部認證器。

為了支持廣泛的身份驗證器，同樣重要的是，設備製造商必須同意一組關於瀏覽器和身份驗證器如何有效地相互通信的協議——這些規則統稱為CTAP (Client to Authenticator協議)，通過CTAP使瀏覽器能夠通過藍牙、NFC或USB等多種方法與外部身份驗證器通信。

當用戶使用Chrome或Firefox登錄網站時，伺服器會發送一個challenge，通常是一個非常大的隨機數，登錄頁面中的JavaScript代碼使用WebAuthn API提示瀏覽器使用私鑰加密消息。然後，瀏覽器將challenge卸載給驗證器,驗證器會提示用戶允許這樣做。

此時，用戶將手指放在驗證器的指紋掃描儀上，如果是Windows Hello也可以用面部識別——一旦驗證者確認了你的生物識別信息，它就會使用私鑰對challenge進行加密，並將其傳遞迴Web瀏覽器，然後將其傳遞迴網站客戶端的JavaScript代碼，最後返回網站的伺服器。（如圖所示）

無密碼WIN10能保護你的個人隱私嗎？

無密碼身份驗證是安全性的一大勝利。事實上，自2015年推出Windows Hello以來，該公司在消除密碼方面已經取得了巨大進展。

雖然它背後的技術要比發送簡單的用戶名/密碼組合複雜得多，但作為用戶不必記住或輸入密碼，既證明瞭自己的身份，也沒有透露任何有關個人隱私的信息。

互聯網時代的隱私安全問題一直以來為人們所詬病，傳統「用戶名/密碼」的驗證方式，隨機性大、安全性低，人們往往為了方便好記，會採用極其簡單的排列組合數字，在大數據面前，別說黑客，甚至擋不住普通人的侵擾：

儘管網站一再推薦用戶設置安全性高的密碼，比如這樣：

但這種複雜程度無異於記住一堆亂碼。

而像Windows Hello這樣擁有生物識別技術的身份驗證方式，特異性強、破解難度高，提高安全性的同時大大減少了用戶設置不同密碼的麻煩。

隨著Android和Windows10等平臺為10億個活躍設備提供服務，這一轉變將提高數億用戶的安全性，希望將來能有更多的系統納入該標準。

推薦閱讀：