不用密码可以使上网更加安全

 大部分生活在互联网时代的人都会为“密码”这件事感到头疼。虽然人们几乎注册一个互联网服务都需要填写用户名和密码，但很多时候这个“密码”起不到多大的保护作用——很多调查都发现，人们最常用的密码都非常简单，比如“123456”这样。

稍微注重网络安全的人，会在注册不同服务的时候采用不同的密码，但这又会带来一个麻烦，要记住那么多不同的密码也是一件烦人的事情。为了解决密码安全的问题，还有人做了 1Password 这样的应用来帮助人们管理密码。但这也不是最终的解决方案。

要让密码绝对安全，最好的做法就是抛弃密码，用一种全新的方式来登录使用互联网服务。

据 The Next Web 报道，互联网标准的制定者W3C(万维网联盟)已经成立了一个小组来制定一套新的互联网身份验证机制。Google、微软和 PayPal 曾在2015年提出过一套验证方法FIDO 2.0，这套系统会成为新的互联网身份验证机制的框架。

简单来说，FIDO 希望利用你的手机来验证你身份。最易理解的场景就是，在你登录一个网站的时候，网站会给你手机发送验证码，你输入验证码进行登录，而不需要为该网站设定一个密码。

现在已经有部分服务放弃了让用户通过密码登录。美国的叫车服务 Lyft 就是其中之一，其登录方式就是通过短信验证。

从便利性上来说，接受短信验证码再登录可能比直接使用密码要花更多时间，但现在很多服务登录之后就会一直使用，并不需要频繁登录。你上次输入密码登录微信，可能还是换新手机的时候吧。

更何况，短信验证码只是通过手机验证身份的一种方式，网页版微信的扫描登录也可以是其中一种。其他的验证方式还包括指纹、声音等。

从安全性上来说，抛弃密码之后，就不会再有泄漏密码的危险。当然，现在提议的验证方式非常依赖手机，很大的风险都转移到了手机上。从某种程度上来说，这把网络风险转移到了现实世界里——如果有人拿了你的手机，登录你的网页版微信，这并不是微信不安全，而是你没有看管好自己的手机。

FIDO 也考虑到了这一点，也设计了用户手机丢失之后的防备措施。手机丢失后，你可以向验证机构报告这台手机不能用于任何登录操作。但这个时候，验证“你是你”，以及“拿着你手机的人不是你”，可能会成为一个问题(如果是通过生物信息验证，如指纹，会相对简单)。

现在距离基于 FIDO 的身份验证方法成为标准还有很长一段时间，抛弃密码来验证用户身份信息的方法也不会一夜之间普及。但总会有一些互联网服务会先用上新的验证方法，有一些服务总是进化的要慢一些。