本文来自微信公众号 “三易生活”（ID：IT-3eLife），作者：三易菌，36氪经授权发布。

对于密码这个相当古老的名词的来说，作为秘密这一概念的具象，围绕着密码，在战争年代无疑是刀光剑影的谍战，而在如今的互联网时代，则是黑客与网络安全人员的攻防战。并且伴随着互联网已经渗入我们生活的方方面面，密码可以说已经成为了每个人的必需品。

不过，你能想象一个完全没有密码的世界吗？日前微软方面宣布，所有用户现在已可以从其帐户中完全删除密码，并且同时还能提高安全性。微软副总裁Vasu Jakkal对此表示，“近年来，我们一直都在强调无密码机制的重要性。今天我在这里很高兴地向大家宣布，这项愿景终于有了实质性进展。从今天开始，您可以将你微软账户中的密码彻底删除。”

微软为什么要放弃密码呢？因为多年以来，创始人比尔·盖茨就一直认为密码是计算机安全链中的薄弱环节，他曾在RSA2006大会中发表演讲时指出，要让密码在三四年内开始“退休”。事实上，微软其实早在1999年就已经开始尝试取消密码，并在当年推出了微软Passport认证服务，但由于其存在着严重的缺陷，这一尝试在数年后只能被放弃。

在2007年上市的Windows Vista之中，一种名为InfoCard(信息卡片)的概念被微软方面引入，从而为用户提供了一个可有效管理登陆帐号和密码的有效工具。从这一系列的举措来看，微软对于取消密码显然是早有“图谋”。但其实“干掉”密码并非微软一家这么想，PayPal首席信息安全官巴雷特早在2013年时就表示，“使用账户密码认证身份的方式将很快过去，未来将更多依靠软件和硬件的结合。”

在上世纪六十年代，麻省理工学院大型分时系统CTSS电脑成为了全球首个使用密码的电脑。自此，这种用简短、便于记忆的密码也开始逐渐被用于例如登录在线服务等用途，并且至今其仍然是最为常用的身份认证手段。但问题是，传统的密码早已落后于时代，无论它曾经有多么的好用，现在密码已经成为了网络安全领域最为薄弱的环节之一。

根据Verizon发布的《2020年数据泄露调查报告》显示，超过80%的数据泄露都是黑客利用被盗密码或弱密码导致。并且微软方面也曾公布过类似的数据，并且表示单纯的密码机制已经成为了安全系统的软肋，每年仅因为这一原因发生的相关攻击就多达 180亿次，约每秒579次。

而密码当前主要的问题，是人的记忆力是有限的，但伴随着互联网的发展，大家使用的互联网服务也已日趋繁杂，即便有以OpedID为代表，更加便捷的第三方登陆方式，但大量用户还是很难为自己不同的账号分别设计密码，这也导致尽管网络安全人员一再呼吁不要使用同样的密码，然而奈何大众压根就听不进去。

例如在美国密码管理应用公司Splashdata一年一度公布的“年度最差密码”榜单里，“123456”已经获得了七连冠。但究其原因，还不是因为这是非常易于记忆的组合。

再加上，最常规的“账号+密码”仅仅是最为基础的静态口令认证，密码一旦被设定后，除非用户主动更改，否则就将保持不变。这也就自然带来了显而易见的问题，当密码被黑客通过木马、撞库等方式盗取后，往往也会带来一连串的连锁反应。

所以目前一边是用户的密码趋向简单化，并且存在多个账号共用一个密码的情况，而另一边则是密码本身的关联甚多。例如在2015年时，许多游戏乃至微博、百度网盘用户一夜之间发现账号被盗，原因则是网易邮箱系统的数据库被黑客攻破，并利用所盗取的相关数据来实施“撞库”，也让大量使用网易游戏作为注册邮箱的用户遭殃。

作为传统密码的迭代产品，微软所谓的无密码并不是指其放弃了对于用户的身份认证，而是选择放弃密码这一种低效且不安全的工具，转而采用了更契合当下互联网世界的多因素认证模式。据悉，微软目前所使用的无密码机制依托于自家的手机应用Microsoft Authenticator，这也是属于多因素身份验证的一种。

微软这款APP允许用户在不输入密码的情况下，通过手机的双因素认证，以手机的指纹/脸部识别、或是设备PIN码作为代替，另外也支持生成一次性的验证码。其实这一解决方案并不复杂，就是让手机成为类似此前网银动态安全令牌，用WiFi、蓝牙、时间戳、手机设备等信息，来确保进行无密码登陆的就是账号的主人。

而手机之所以能够成为多因素认证机制最为核心的密钥，靠的其实是苹果、谷歌和微软均是在线快速身份认证（FIDO）联盟的成员。目前，iPhone、Android手机以及Windows 10均支持FIDO的“无密码强认证”协议，能够将认证方式与认证协议分离，并利用硬件设备内嵌的安全能力，也就是指纹识别、面部识别，对多设备多应用的不同身份认证方式提供同样的支持。

即便多因素认证加持下的无密码机制更安全，但是想要彻底“干掉”密码显然并不是一件很容易的事情。事实上推广无密码机制最大的阻碍并不在技术领域，而是在于如何说服用户改变使用习惯。君不见，双因素认证作为一个被苹果、谷歌、微软苦口婆心推广的登陆机制，直到今天都没有完全普及。

如今大量用户割舍不了密码，就是因为在过去的三十年间账号密码这一机制已经深入人心，而习惯的力量无疑非常强大。现实因素则是能被记住，甚至成为条件反射的密码，要比多因素认证机制更加便捷，别的不说，微软这一套无密码登陆，就需要依靠手机来实现，这就意味着在登陆电脑时，用户不是在键盘上直接输入密码，而是要先解锁手机、再通过Microsoft Authenticator来实现，这套流程的步骤显然并不少。

所以微软乃至其他厂商推广的无密码机制，其实还需要解决面前这两个最大的拦路虎。