密碼登錄這件事已經由來已久，但隨著互聯網的發展，密碼也開始逐漸不受用戶待見了，尤其在個人密碼暴露了安全方面的風險之后。那么在未來，“輸入密碼”這件事兒，是否會被其他登錄形式所取代？

時至今日，「賬戶」連同「密碼」已經關聯了我們太多的重要數據，但與此同時，世界上最多人使用的密碼又是什么？

2022 年，NordPass 在檢索 3TB 容量的全球密碼庫后發現是：password（密碼）。排在「password」后面的還有「123456」「123456789」「qwerty」這類大家喜聞樂見的密碼，而這些密碼早在十年前就已經「流行」全球。

可想而知地球人是有多懶？十年都不帶換。

誠然，懶得花費精力記憶或者琢磨一套個人的密碼系統是一方面，但另一方面也是一位因為密碼天然存在太多問題，很早就有人主張砍掉「用戶名-密碼」的安全體系，用「無密碼登錄」取而代之。

趕在今年的世界密碼日前，谷歌在官方博客發文宣布，此前在測試的 Passkey（通行密鑰）無密碼登錄功能將向所有用戶推出，用戶可以基于信任的設備直接完成生物驗證，而不用輸入密碼。事實上不僅是谷歌，微軟甚至早在 2021 年 9 月宣布了無密碼登錄功能，還支持用戶在賬戶中完全刪除密碼，僅依靠生物識別進行登錄，自然也就不存在密碼泄露的問題。

另外，作為全球最重要操作系統廠商，谷歌、微軟和蘋果還在去年的世界密碼日（5 月 5 日）聯合宣布，他們將致力于在未來一年，在其控制的所有移動、桌面和瀏覽器平臺上打造無密碼登錄系統。

從互聯網早期一直流行到今天，好端端的密碼怎么就不受大家的待見了？

一、密碼泄露了，拿什么證明我是誰？

去年 6 月，大學生學習軟件「超星學習通」曝出了大規模被拖庫事件，1 億 7273 萬條用戶數據遭到泄露，包括姓名、手機號、性別、學校、學號、郵箱、密碼等信息。該消息隨后沖上微博熱搜，大量超星學習通用戶都反映收到了外地乃至境外的詐騙電話，還提到對方能準確報出身份證號等關鍵信息。

事件發生后，不少高校也都接到教育網的相關通知，顯示不僅確認超星學習通泄露了大量用戶數據，并涉及全國大量高校，應急安全響應為 A 級。同時通知還提醒老師和同學：

「如果您其他系統密碼與超星學習通密碼一致，請盡快修改為新密碼，嚴防撞庫對自己產生更大危害，謹防詐騙?！?/p>

與此同時，過去幾年全球不斷發生賬戶密碼泄露事件，根據網絡安全公司 SpyCloud 發布的 2023 年身份暴露報告，研究人員僅去年就在網上發現了 7.215 億個被泄露的密碼，其中一半來自僵尸網絡——被惡意軟件感染并被黑客控制的計算機網絡。

如果涉及微信、支付寶、銀行和電商平臺這類關鍵賬戶，不僅會極大地影響日常生活，也觸碰到了極為敏感的財產安全，一旦泄露可能引起無可挽回的損失。另一方面，用戶也要面對密碼泄露的成本，一部分賬號或許可以自助修改密碼，無非花費一些可預計的時間，另一部分已經被篡改的賬號，可能就需要用戶提供足夠的信息「證明你是你」。

本質上密碼就是用來證明身份的工具，問題也恰恰于此——密碼說到底也只是一串文本。不管是撞庫、釣魚郵件還是僵尸網絡，作為身份證明工具的密碼都太容易泄露和盜用，密碼管理器和兩步驗證可以完善對「密碼」的保護，但除了較高的學習和使用成本，并不能改變密碼容易被盜用和篡改的本質。

二、個人密碼，從入門到放棄

賬號密碼幾乎是伴隨著早期互聯網而起，最典型的應用就是郵箱，但對中國 90 年后生人來說，可能更多是在 QQ 上記住了第一個賬戶和密碼。而即便是在 QQ 興起的新千年初，隨著大量網站和軟件的涌現，互聯網用戶注冊了一個又一個賬戶，大部分人事實上只能記住少數的用戶名和密碼，很多時候都是重復使用同樣的密碼，或是用上「手寫密碼」這種笨方法。

但到后來，網絡安全的攻防戰越發激烈，再加之軟件應用的大爆發也帶來了大量的賬號，于是也就有了 LastPass 等密碼管理器應運而生。通過記住一個密碼管理「所有賬戶的不同密碼」，密碼管理器在一定程度上確實解決了安全和便利的矛盾。

不過風險實際在轉移——一旦密碼管理器的密碼泄露，所有賬戶都將全數暴露。LastPass 作為用戶規模最大的密碼管理器之一，就多次遭遇了攻擊泄露事件，最近的一次發生在去年 8 月。即便是公認更安全的 1Password 和 Bitwarden（開源），同樣也有可能發生數據泄露安全事故。

也是看到個人密碼在安全方面的風險，兩步驗證開始逐漸流行，比如手機短信和郵箱驗證碼或是基于時間的驗證器密鑰（安全性更高）。然而更安全的驗證器始終沒有流行開來，遠比短信和郵箱驗證碼來得小眾，使用成本上也確實更高，需要增加查看和復制一次性密鑰的步驟，還要考慮時間。

通行密鑰與密碼的區別，圖/蘋果

同樣從身份證明這個角度出發，微軟、谷歌和蘋果主推的通行密鑰，則將以往需要儲存在服務器端的登錄信息，替換為了非對稱加密技術中的口令。當用戶為某個賬戶創建通行密鑰時，用戶設備上會生成一對公私密鑰，賬戶服務器只會獲取并存儲「公鑰」，攻擊者無法從服務器上的數據推導出存儲在用戶設備上，完成身份驗證必需的「私鑰」。并且因為沒有「密碼」，通行密鑰也不存在「密碼強度」「重復使用」等問題。

就像蘋果認證體驗團隊的 Garrett Davidson 在去年 WWDC 上指出，有了通行密鑰，重復使用、撞庫、密碼泄露和網絡釣魚等問題，都不再可能。

而在使用上，通行密鑰與用戶可信賴的設備綁定，支持設備上的指紋識別、Face ID、Windows Hello 以及 PIN 認證等。當然，用戶也能將手機作為主要的驗證設備，或者說「鑰匙」來登錄所有賬戶，不需要輸入任何東西，一次識別就能實現身份驗證，大大簡化了過去兩步驗證+密碼管理器+自動填寫密碼的形式。同時基于 FIDO 協議，用戶可以使用 iPhone 上的通行密鑰，在運行微軟 Windows 的設備上登錄谷歌 Chrome 瀏覽器。

憑借更安全的機制、更簡單的驗證步驟，幾乎可以預見，通行密鑰將完全取代密碼。換句話說，可信賴的本地設備（比如手機）將在真正意義上成為我們不同網絡身份的萬能鑰匙，打開的是一個「無密碼」的世界。