是时候放弃密码了吗？

您有多少个密码？可能比您能轻易记住或轻松管理的要多。我敢打赌，当您注册在线服务时，您会害怕想出新密码。

PayPal 的 Jonathan LeBlanc 的使命是用更安全、更易于使用的东西取代密码。

他也不是一个异想天开的梦想家或理论家。LeBlanc 是 PayPal 和 Braintree 的开发者倡导主管，对安全、身份和社交技术有着浓厚的兴趣。他还是 Programming Social Applications 的作者，并帮助构建了 PayPal 和 Yahoo 等公司使用的开发者身份验证技术。

在 POSSCON 2015 上，LeBlanc 将发表题为 杀死所有密码 的演讲。我与他进行了交谈，以了解更多关于密码的问题以及什么可以取代密码。

密码有什么问题？

问题本身不一定是密码。问题在于人类在创建具有任何复杂程度的密码方面做得非常糟糕。如果我们看一下 2014 年泄露密码的统计数据，大约 5% 的人使用password作为密码。大约 10% 的人使用 password、123456 或 12345678。如果我们查看泄露次数最多的 1,000 个密码，这些密码占泄露密码的 91%。

我们可以构建系统来执行设备指纹识别、位置验证以及通过使用习惯识别进行身份验证，但如果密码选择很弱，所有这些都将变得次要。

我们是如何走到密码这一步的？

我们是人类。我们每天都被技术和帐户淹没，大多数人会选择他们容易记住的密码。这很有道理，但无论我们如何告诉人们他们的密码选择非常不安全，人们仍然会继续使用弱密码以及他们在所有帐户上都使用相同的密码。我们走到这一步是因为我们期望人们选择一连串复杂的混合大小写字符、数字和符号，这些字符、数字和符号对他们来说毫无意义，目的是为了保护他们的帐户安全。

您是如何参与到这场“杀死密码”的运动中的？

这自然而然地来自于我参与的安全和身份行业的工作。大约六年前，当我在雅虎工作时，我正在研究他们的 OAuth 1（后来是 1.0a）和 OpenID 集成，以及一些用于他们的社交登录和社交应用程序环境的更具实验性的身份验证技术。这让我第一次真正涉足登录背后的安全架构，并促使我帮助构建了 PayPal 开发者产品背后的身份验证系统。

我从这一切中意识到的是，系统安全性和系统可用性之间存在一条细线。我们必须找到一个平衡点，既要尽可能地保护用户，又要让他们获得轻松的体验。这种向无密码身份验证的驱动是这种演变的结果。

有没有一种既安全又对所有人来说都很容易的密码创建方式？

当然有。在消费者方面，像 1Password 或 LastPass 这样的密码管理器系统正变得越来越普遍，它们允许您只记住一个主密码。除此之外，您的其他帐户可以使用您无法记住的高度安全的密码，系统会自动为您记住。无论是在个人方面还是在专业方面，我都使用 1Password。

在系统方面，我们可以通过采用设备和浏览器指纹识别、区域检测以及基于典型使用习惯的身份识别来进一步为用户带来安全性，所有这些都不会对用户产生额外的安全级别的影响。

什么可以取代密码？

如果我们分解用户名和密码的概念，它们是对您身份的识别（用户名），然后是通过只有您才知道的东西（密码）来验证这一事实。任何提供这些功能的技术都可以做到这一点，所以这不仅仅是保留用户名并更改密码，而实际上是以不同的方式看待这些系统。

开源技术将在取代密码方面发挥什么作用？

在数据安全方面，为了进一步保护用户名/密码身份验证，您可以使用许多开源密钥哈希和加盐实现。如果使用得当，它们可以安全地存储用户信息，包括这些密码。

像 OAuth 1.0a、OAuth 2 和 OpenID Connect 这样的身份验证和授权技术都为用户登录和允许应用程序代表他们执行操作提供了更安全的实现。它们不仅仅是保护应用程序和登录主机之间来回传递的密码等信息。

当我们开始探索生物识别技术、可穿戴设备、嵌入式设备和其他技术时，它们可能会成为告诉系统您是谁的另一个因素。它们可以使用多种身份验证因素将其转化为有效的登录。开源硬件，尤其是微控制器和传感器，正在被用于构建这些下一代原型。

这些技术有多安全？

这实际上取决于您想要保护什么。

让我们首先看看密码安全的哈希。像 MD5 和 SHA1 这样的通用哈希算法是为速度而构建的——以便在尽可能短的时间内处理尽可能多的数据。在密码安全中使用这些算法的问题在于，由于攻击者无法反转哈希，他们可能会简单地使用不同的潜在输入发起暴力破解攻击，直到他们生成正确的哈希。哈希算法越快，这种攻击就越可行。

像 bcrypt 和 PBKDF2 这样的算法使用一种称为密钥拉伸的技术。它们允许您确定哈希函数的成本（在时间和/或大小方面）。我们选择降低解密速度以防止这些潜在的攻击，但仍然使其足够快，以免影响有效用户。这些算法速度较慢，但非常强大和安全。

对于生物识别技术，一个担忧是所谓的误报率。这是指无效用户被视为有效用户并被允许访问的频率。由于大多数关于生物识别身份验证的新研究差异很大，因此很难准确确定其中大多数的安全性。生物识别技术是一种很好的识别您的机制，但需要第二重身份验证因素。当然，在误报率较低方面，一些生物识别来源远优于其他来源。例如，静脉识别技术通过血流测量静脉独特性，比指纹识别提供更高的安全性。

这些技术中最有前景的是哪一项？

在通过可穿戴设备、嵌入式设备、可注射设备和可摄取设备进行生物识别技术领域所做的工作非常有前景。实际上，短期内取得进展的将是可穿戴设备和计算机，因为嵌入式领域的任何东西都不会被大多数人视为文化上可以接受的。

我认为我们将看到围绕个人身份识别的多种机制，这些机制使用用户可以访问和知道的第二重身份验证因素，以便将用户名和密码作为潜在的淘汰目标。商业、医疗应用和许多其他行业目前正在探索这一领域及其背后的技术。

这些技术还在哪些领域被使用？

未来生物识别技术的大量工作来自商业和医疗行业。

例如，在 PayPal 内部，我们正在与合作伙伴合作构建静脉识别技术、心跳识别带。我们也是 FIDO 联盟 的董事会成员，该联盟致力于为未来的身份识别创建统一规范。在医疗行业，我们看到嵌入式传感器和可穿戴计算机是新潜在未来身份的首批人体融合技术之一。

人类仍然是链条中最薄弱的环节吗？

是的，人类将永远是最薄弱的环节，因为绝大多数人总是会选择阻力最小的路径，而不是为他们提供最大安全性的路径。然而，在许多情况下，技术实现也同样应该受到指责。安全方法，例如使用不易猜测的复杂密码，意味着人们必须记住一些对他们来说毫无意义的东西，而且我们的大脑更难记住与任何其他事物都没有关联的东西。

密钥管理器和生物识别技术等技术正走在正确的道路上。正确的解决方案是找到最安全的方式为用户提供身份验证，而无需用户承担记住身份验证复杂性的责任。

您认为密码会在什么时候消亡（如果会消亡的话）？

密码不会消亡，它只会改变。互联网安全、生物识别技术或其他领域正在研究的大部分身份识别技术都在关注用户名和密码的实际含义：识别您的身份并验证该身份。通过可穿戴设备、嵌入式设备或可摄取设备触发的生物识别技术、第二重身份验证系统和许多其他技术都在兴起，以应对这一挑战。

本文是 POSSCON 2015 演讲者访谈系列 的一部分。Palmetto 开源大会 是一个专注于开放技术和开放网络的科技会议。POSSCON 将于 2015 年 4 月 14-15 日在南卡罗来纳州哥伦比亚市举行.