在上一期里《对称加密面临的那些挑战》中，我们提过密码，和多数人理解的不同，日常生活中用于保护账号安全的所谓“密码”，更贴切的称呼应该是“口令”密码。

密码学中的密码，和我们日常生活中登录各类信息化系统所使用的密码是两个不同的概念，它包含了信息加密编码、密文解密解码、数据完整性验证等一系列信息变换过程，并不等同于我们生活里常用到的密码。

从网络安全角度来说，我们常用的密码是有强弱之分的，据密码管理工具NordPass发布的2022年全球最常用的密码名单，报告显示多数人都在使用弱密码，从整体榜单来看，大家常用的123456、123456789、12345678、111111、12345、000000等等几个常见的数字都排在非常靠前的位置。

这样的密码设置也是黑客们最爱的密码组合，因为破解这些简单组合只需要不到1秒钟的时间，但改变密码的组合则能加大黑客的攻破难度。

比如说一个由7个无规律的字母组成而成的密码，那么它将需要黑客花费大约10分钟才可以破解。如果密码由八位以上的不规律字母等构成，那破解的时间将从4小时24分钟增加到大约5天时间。而在八位以上长度的密码，则将需要花费大约3个月时间才能破解。

从某种程度上说，通过设置八位以上数字、字母、符号等组合而成的强密码，确实能保证账户的安全性。

然而，密码并非在所有情况下都是理想的。它们有明显的缺点，而这些缺点通常可以被黑客利用。安全专家建议从口令密码向通行密钥（Passkey）过度。相比密码，通行密钥的安全性更高。

但密码和通行密钥有什么区别呢？对于用户该如何选择？

互联网兴起之后，密码最主要的用途就是保护在线账户的安全性，假如在无第二人知晓该密码的前提下，账号的安全性确实有保障，但多数人设置密码通常是基于方便而不是安全，这也就是为什么每年的NordPass报告中，弱密码占据榜单。并且很多用户喜欢一密多用，为方便给每个平台设置统一的密码，这对黑客来说也挺省事。

密码保护账号安全的前提是合理设置和储存密码，否则信息和钱财都将两空。

什么是通行密钥passkey？

Passkey是密码的替代方法，Passkey无需输入密码，而是通过使用所谓的身份验证器来授予对帐户的访问权限。该验证器通常是您拥有的另一台设备，例如智能手机或笔记本电脑。

不过通行密钥并不新鲜，它是密码学中「非对称加密」在登录认证中的一种应用。

单个通行密钥由一对公钥和私钥组成，打个比方，在日常生活中，有些人家门口还保留有收件用的邮箱，公钥就像是传统信箱，而私钥就像是信箱的钥匙。邮递员投递的信件就是我们要加密的信息，信件通过投递到信箱中加密起来，然后也只有信箱的主人才有钥匙能够打开信箱读取信件的内容。

如果一个人手上没有钥匙，那就很难能打开该邮箱并获取里面的信件内容。与之对应的，如果某些内容被公钥加密了，则该内容能且仅能被私钥解密，非对称加密的可靠性正来源于此。

若无私钥，在有限的算力和有限的时间内我们一般无法完成解密，所以如果加密内容能被解密，则说明对方拥有私钥。而非对称加密的这种唯一对应性，显然是非常适合用于登录认证的。

通行密钥可以认为是 “生物密码” 和 “授权登录” 的结合。用户可以在Android 手机上创建一个基于公钥加密的密钥凭据，创建密钥的时候需要对本人进行生物特征识别，比如 “指纹” 或者 “面部识别” 等。

无需输入密码可以说是Passkey的最大亮点，在面对网络钓鱼时，能让攻击者无密码盗取，除非攻击者同时拥有用户的身份验证器并打开它，否则他们不可能访问用户帐户。

一些厂商目前已经开始逐步应用Passkey，去年10月，谷歌就曾宣布在Android 和Chrome中正式推行Passkey，以逐步替代长期使用的密码登录。

相较于纷繁复杂的多平台多密码现状，Passkey的优势就显现出来了，在创建完Passkey后，这个密钥凭据可用于解锁所有在线帐户，让用户告别一平台一密码的现状。

虽然一些网站开始支持Passkey，但密码使用目前来说还是市场平台主流，Passkey有其独特优势，但在还没有普及的前提下，普通用户来说其实没什么选择余地。只有当平台全面推行Passkey之后，用户才能彻底摆脱输密码烦恼。否则，空有Passkey而没有平台也是徒劳。

从整个市场环境上看，平台对用户隐私和对数据的保护还是在向好的方面发展的。

比如在Passkey还未完全普及的情况下，很多网站对用户密码设置类型作出规定，在密码设置强度上必须超过一定位数，并且是特定长度或数字、符号和字母的组合，并且很多网站还强制使用双因素身份验证来保护账户安全。

Psaakey作为一种新概念，也许在不久的将来能很大程度上减少记忆密码带来的烦恼，也能减少钓鱼攻击带来的数据泄露威胁，但目前的情况，守护账户安全还是得依靠设置强密码。

关于强密码设置，可以遵循以下几个要点：

• 使用包含随机字母、数字和字符，密码长度最好能设置12位及以上。这可以加大黑客破解密码的难度。

• 对所有帐户使用不同的密码，这可以防止黑客通过撞库攻击盗取用户所有帐户信息。

• 如果平台支持双因素身份验证登录，那最好启用该功能，毕竟多一道验证工序，也能让账户多一道防护门不是。

相信不久的将来，passkey构建的无密码时代也即将来临，让用户彻底从无休止的忘记密码、修改密码、设置密码的轮回里解脱。

点击关注openpki