6月14日,华尔街日报科技专栏作家克里斯托弗·米姆斯(Christopher Mims)向数百万读者公开了自己的Twitter密码。“知道密码你们也破解不了我的账号”,米姆斯在专栏中这样写道,因为他使用了“两步验证(two-factor authentication)”,这是Twitter提供的一层附加保护功能。使用两步验证的用户在登录网站时,除了填写密码,还要输入一份Twitter向手机发送的验证码。
不出所料,大约200人尝试访问米姆斯的账号,他的手机不断地有验证码涌进来。
像两步验证这样的保护方式,既不是什么高招,也不是密码登录的未来(尽管人们还挺喜欢这个额外的保护)。在美国、英国、巴西、俄罗斯,有3/4的人不知道两步验证是什么,更别提使用了。所以,那些绞尽脑汁想让密码功能更容易一些的人,他们思考的是如何彻底摆脱密码,而不是为那些懒得出名的用户增加更多难度。
有邮箱就行
协同写作工具Poetica联合创始人,前Twitter首席架构师布赖恩·库克(Blaine Cook)说:“在那些不痛不痒的网站上,登录是不可或缺的一部分,它不是功能,更像是必要之恶(necessary evil)。那么问题来了,我们怎样才能让这个过程不那么痛苦呢?”
库克觉得应该思考一下,密码到底证明了什么?用户难免会有忘记密码的时候,届时,网络服务方会发送一封用来重置密码的邮件,这样说来,密码归根结底就是证明你有使用之前所设定的邮箱的权限,那么,为什么不取消中间环节呢?
这个想法也不算新鲜,将近400,000家网站都在使用Janrain <a href="#1" id="note1">[1]</a>就做了这样的事。根据Janrain的调查,美国90%的互联网用户见过社会化登录系统,其中超过一半使用了这个功能。
与Janrain的做法有所不同,库克不想提醒用户他们必须登录,于是,Poetica去掉了这个丑陋的特性。用户注册Poetica后的第一次访问,要做的仅仅是输入自己的邮箱地址,因为人们通常会登录Gmail或者Facebook账户,系统通过检查这些服务来确认用户身份,然后便允许他们进入网站。库克说:“大部分情况下,我们以这种方式避免提示老用户输入密码,或者其他任何需要用户干预的行为”
这个时代总是有人对那些大数据采集者感到怀疑,那么这些天性多疑的用户怎么办呢?库克说,人们在注册界面输入邮箱地址的时候就已经把邮箱接入了第三方账户,即便他们并不这么认为。正如之前就职于谷歌用户身份部门的网络先驱蒂姆·布瑞(Tim Bray)<a href="#2" id="note2">[2]</a>所说,互联网巨头在保护用户数据免受政府侵犯方面比小公司做得更好,“政府要窥探公民隐私,互联网巨擘是他们的首选目标,但是同时,我们也拥有更好的律师来与政府抗衡”。
库克说他正在努力支持第三方邮件服务提供商通过OAuth用户认证标准,他还有一个点子是向用户的邮箱发送一份一次性登录cookie,安装这个cookie后便可成功登录,等到用户登出再想登录,就需要另外一份一次性cookie。虽然不需要密码,但这种方式还是离不开邮箱。
一把钥匙
另外一种解决方式来自谷歌。这个互联网巨头正在试验一款取代密码的登录设备,现在他们用的是USB密钥,只要将它插入接口便可验明身份。体验过这款设备的谷歌员工表示这将是未来趋势(自卖自夸)。
有信号显示,谷歌可能正在把物理验证方式带给消费者。最近的I/O开发者大会上,谷歌展示的新特性之一就是,安卓手机通过蓝牙与机主的其他安卓设备配对后便可自动解锁。跟两步验证方式同理——它是需要用户有一个物理设备——但好在不用费事接受和输入一份验证码。
也许,这仅仅是第一步而已,随着硬件设备之间的链接缝隙越来越小,各种登录需求却不断增长,我们希望密码可以永远消失,有更智能更连贯的验证方式出现。
<a href="#note1" id="1">[1]</a>Janrain是社会化登录系统,支持一次安装后通过Facebook, Google, Twitter, Yahoo, LinkedIn等帐号登录进网站。
<a href="#note2" id="2">[2]</a>蒂姆·布瑞曾参与XML、W3C TAG、Atom、JSON规范的制定,被称为“XML之父”,曾参与谷歌“免登录计划”,于2014年3月从谷歌离职。
