有些人不停地谈论密码的死亡。密码陈旧、不安全且容易泄露。很快，我们都将使用生物识别、硬件安全密钥和其他未来解决方案，对吗？嗯，别那么快。

我们采访了1Password的安全主管杰弗里·戈德堡(Jeffery Goldberg)，他说他“谨慎乐观地认为，这一次我们可能会看到密码问题有所缓解。”

这是乐观的看法-而且密码远未消亡。

为什么人们想要破解密码

早在2018年5月，微软安全团队在讨论该公司“建立一个没有密码的世界”的目标时写道：

随着时间的推移，密码变得越来越烦人，我们都变得明智地意识到重复使用密码的风险。如果您在多个网站上使用相同的密码，并且存在密码泄露，则您的密码可能会被用来访问您在其他网站上的帐户。因此，您需要为您使用的每项服务选择一个强大的、唯一的密码。在几个网站上重复使用简短、简单的密码的日子已经一去不复返了。

对于大多数没有超人记忆力的人来说，不可能为每个在线账户记住一个强大的、唯一的密码。这就是我们推荐密码管理器的原因--它们会为您记住所有那些强的、唯一的密码。你只需要记住你的主密码，这比记住100要容易得多，也比重复使用同一个密码安全得多。

不过，即使有了密码管理器，这也不是完全安全的。在您的系统上安装了键盘记录程序的人可以捕获您的密码并以您的身份登录。这就是为什么服务增加了额外的安全性。我们经常键入密码，然后必须使用代码或密钥进行第二次身份验证。

有没有更好的方法？

什么可以替代密码？

戈德伯格说，在过去的20年里，他看到了“一个又一个方案”提出要杀死密码-其中许多方案没有从过去失败的东西中吸取教训。但由于功能更强大的本地设备等方面的进步，较新的设备可能有更好的成功机会。

生物识别技术可以取代密码。你可以使用Touch或Face ID(生物识别)来登录你的iPhone，而不是键入PIN。Android手机也有指纹和面部登录功能。

您现在还可以创建用于登录Windows的“无密码”Microsoft帐户。您的用户名是您的电话号码，您键入的“密码”是通过短信发送到您的电话号码的代码。

您也可以使用物理安全密钥，而不是密码来验证您的在线帐户。你随身携带着钥匙(你甚至可以把它放在你的钥匙链上)，在登录时通过USB、NFC或蓝牙使用它。

手机也可以替换密码。谷歌现在允许Android设备充当FIDO2键。在笔记本电脑上登录网站时，您可能还需要使用手机上的指纹进行身份验证。

许多公司试图通过提供“单点登录”提供商来减少对密码的依赖。这是您登录Facebook、Google等，然后使用该帐户登录其他服务的时候-不需要额外的密码。

密码“Replacements”不替换密码

不过，这里有个大问题。被吹捧为密码“替代品”的技术实际上并不是替代品--至少现在还不是。

生物识别，如脸或触摸ID，仍然需要在你的设备上同时提供密码和苹果ID密码。出于后台加密的目的，某些任务也需要PIN。Android上的生物识别功能和Windows 10上的Windows Hello的工作方式相同-基本上是一种方便的功能。您可以更轻松地登录到您的设备，因为您不必每次都键入密码，但它不会取代您的密码。

一个向你发送电话代码的无密码账户也不是很好。这项服务在你每次尝试登录时都会生成一个新的密码，并通过短信发送给你，而不是为你的账户提供一个密码。这比您登录时发送给您的单一密码加安全代码的传统方法安全性要低。

不幸的是，攻击者在许多情况下很容易窃取电话号码，这会降低安全性。在电话号码无处不在的国家，这是一个联系人们的好方法，它减少了注册账户的摩擦，这也是亚马逊提供这一服务的原因。但是替换密码不是一个好的解决方案。

大多数采用物理安全密钥的服务将其用作附加身份验证选项。您仍然使用密码登录，然后提供安全密钥作为二级确认才能登录。要想在没有密码的情况下使用密钥还有很长的路要走。

单点登录服务也存在隐私问题。当你点击“登录谷歌”或“登录Facebook”时，服务运营商--谷歌或Facebook--知道你在登录什么。

总会有密码(在后台)

即使谷歌用手机取代密码的梦想实现了，也不会消除密码，The Verge这样总结谷歌的计划：“如果你已经登录手机，那么这可以用来‘引导’你想要登录到谷歌账户的下一台设备。”“The Verge”是这样总结谷歌的计划的：“如果你已经登录手机，那么这可以用来‘引导’你想要登录到你的谷歌账户的下一台设备。”

您可能会在很长一段时间内避免使用您的密码，但它仍然在后台。毕竟，如果你丢失了所有的设备，你会需要它的。

密码仍然很普遍。它们易于设置和使用。密码“替换”提供了更多的便利或额外的安全性。但如果你丢失了设备，无法使用生物识别或硬件安全，你总是需要一种方法来重新获得访问权限。

1Password的首席运营官马特·戴维(Matt Davey)说：“我认为总会有需要密码的边缘情况。”例如，在iOS 13中使用Apple登录提供了一个基于Web的登录选项，当您在非Apple设备上登录时，该选项将使用您的Apple ID密码。密码在任何地方都可以使用，当无法使用奇特的生物特征或硬件安全功能时，密码是通用的默认设置。

正如Goldberg所说，对于网站来说，“密码真的真的很容易”实现。“它们仍然是服务运营商使用的最直接的东西。”

这就是为什么1Password看好密码管理器的未来。该公司表示，尽管竞争加剧，但它看到了更多的新用户，苹果、谷歌和Mozilla等公司对密码管理变得更加认真。

未来会是什么样子？

取消密码的梦想还有很长的路要走。即使这一过程进行得很顺利，最好的情况也是我们会慢慢前进，有更容易的密码替代方案。

总有一天，密码可能会被如此降级到后台，以至于它们将成为一种被遗忘已久的帐户恢复方法。但它们可能会在未来很长一段时间内存在。将它们从大多数人的日常使用中驱逐出去的战斗将是漫长而艰难的。但是完全取消密码呢？那就更难想象了。