许多人对密码的格式要求非常低，只求容易记，却容易被骇客破解；现实中，要无密码技术并非易事，但通过实施多重要素验证、建立对设备的信任、利用单点登录和实施自适应登入条规，来减少对密码的依赖，已是可行……

自古以来，人类使用密码做为保密信息与保护财物的工具，例如解锁手机、登入各种作业系统，甚至在提款机提款都需要输入密码，方能完成提款或查询动作。

密码的功能就像一把锁头，保护着你的个人信息及财物，但偏偏许多人对密码的格式要求非常低，只求容易记，不管密码是否容易被骇客破解。

根据密码管理服务NordPass公布的一份调查显示，大众最喜欢设置“123456”、“password”、“qwerty”、“111111”等为密码，而这些密码无需1秒便能被破解。

由于大众将密码设得太简单，或为了更容易管理多个账号而一再使用相同密码，导致网络安全漏洞，因此，美国科技巨擘联合宣布支援一项通用标准，用户将透过解锁手机登入网站及应用程式，例如指纹或脸部辨识。

在今年的5月5日的世界密码日（World Password Day），苹果（Apple）、谷歌（Google）和微软（Microsoft）宣布与FIDO联盟（Fast IDentity Online Alliance）合作，为更多网站和应用程序提供安全便捷的无密码技术。

FIDO联盟推广的无密码登录方式，除了提升用户体验和保护个人账号信息安全外，可以让服务提供商提供FIDO凭据，用于账户意外丢失后的恢复；这种方式也被认为对残障人士和老年人用户更为友好。

分阶段实行无密码技术

现实中要无密码技术并非易事，尤其需要处理大量用户、大量应用程序、混合基础设施和复杂的登录流程，目前只能分阶段实行。

随着技术的不断发展和用户使用率的提高，尽管完全消除密码的目标仍然很遥远，但通过实施多重要素验证（Multi-Factor Authentication，MFA）、建立对设备的信任、利用单点登录（Single Sign-On，SSO）和实施自适应登入条规，来减少对密码的依赖，已经是可行。

即便现在业界已有FIDO这类技术标准，但要普及化，还需要更多企业参与，才能让整个产业在身分识别标准方面达成共识，之后共同推进无密码化的进程，从而在真正方便用户的同时，保护个人信息和数据安全。

无密码技术如何运作？

无密码技术是指用户可以将手机作为主要验证工具，来取代传统的手动输入密码，实现身分认证的技术。

当注册账号时，系统会检测手机硬件信息并将账号与其绑定，后续登录账号时，应用与手机对接，用户使用指纹、脸部识别或设备密码锁等方式即可完成账号登录，而无需手动输入密码，从而降低被盗用或骇客入侵的风险。

未来，用户手机将存储一个称为密码的FIDO凭据，用于解锁你的在线账号，这会使登录更加安全，因为它基于公钥加密，并且仅在用户解锁手机时显示给你的在线账户。

当用户要在电脑上登入网站，用户只需将手机放在附近，系统就会提示用户解锁手机以登入。完成此操作后，用户将不再需要手机，只需解锁电脑即可登录。即使用户丢失了手机，密钥也会从云备份安全地同步到新手机，让用户可以继续使用。

如何让密码变得更安全？

大多数的资安问题，其实都是来自于用户的无知、粗心、没注意的情形下泄露出去，或者用太简单的密码所导致。

在无密码技术尚未实行之前，提高密码的破解难易度极为重要，以下是设定密码的10大原则：

1．为每个账号设置不同的密码，不要重复使用密码，特别是那些较为重要的账户，否则一旦有一个账户的密码被盗，其它的账户都会面临严重的风险，例如个资泄漏及钱财损失。

2．密码越长，就越难被破解，若情况允许，最好是长于12个字。

3．使用大字母、小字母、数字和符号做为组合。

4．不要使用个人信息，或者其他人容易知道或猜出来的信息做为密码组合，比如出生日期、宠物名字和车牌号码等。

5．不要随便和他人分享密码，即使是亲人或朋友。

6．使用密码管理器设置、记忆和储存密码。

7．保持默认密码的定期更新。

8．使用密码检查工具检查密码的强度，及验证密码是否已经被盗用或在不同账号被重复使用等。

9．为账号绑定电话号码或电邮地址等信息，用于在密码被盗时恢复账号。

10．为账号设置额外验证方式，如两步验证（Two-Factor Authentication / 2FA Authentication）。

※图：互联网