密码这么讨厌的东西，其实我们并不需要

文/陈渊

没有人可以保证密码是绝对安全的

在网络安全领域流传着一句话：世界上只有两类公司，已经被黑了的，和还不知道自己已经被黑了的。

首先，八卦先从海外讲起。

前不久，一名黑客宣布挂售3.6亿Myspace用户名和密码，LeackedSource（付费黑客数据搜索引擎）声称这些密码信息来源于2013年一次黑客行动，不过那次行动并没被报道。

如果这些信息符实的话，这有可能是有史以来最严重的一次数据泄露。尽管很多人已经不再用Myspace了，但他们在其他网站上可能仍然使用相同的用户名和密码。

就在同一个星期，linkedIn的1.17亿用户密码与Tumblr的650万登录信息也被黑客挂牌销售。

如果你是linkedIn的用户的话，你可能这就要去改密码了，改完之后可一定记得回来啊。

上面这些都是国外的网站，跟我们有什么关系呢？反正我们也不用他们的服务。然而，国内的情况也好不到哪去。

以下是国内发生的用户信息泄露事件，摘自维基百科。

2011年12月12日，中国最大的开发者社区CSDN被爆遭黑客攻击，600万用户账号以及密码被明文泄露，这些资料在网上到处传播。

同年12月25日，乌云漏洞平台爆出天涯社区4000万用户资料泄露，资料中包含了用户的账户名和密码明文。

同年12月28日，有人爆料京东商城存在用户信息泄露漏洞，京东承认有漏洞并报警。但是第二天又辟谣称没有发生此类事件。

同年12月29日，网上传言当当网1200万完整的用户信息泄露，包含真实用户姓名，邮箱地址，收货地址以及联系方式等等。

同一天，有消息称支付宝平台用户名、账号泄露，但是并不包含密码。

2012年1月4日，有白帽黑客警告新浪爱问社区存在漏洞，可让任何人访问爱问社区约7000万用户账号以及明文密码。虽然新浪方面表示只有30万泄露，但是不同于白帽黑客，躲在暗处的人可能早就把你脱库上百次了。

同年1月10日，国家互联网信息办公布了一些近期泄密情况，包括之前没被爆料的YY语音。YY语音数据泄露是因为内部员工利用职务之便所窃取的。

上面这些泄密事件密集发生在11年末，是巧合呢？还是只是那会儿才引起人们的重视呢？

在这个事件之后，大部分公司对安全这一块还是比较警惕的。毕竟用户的数据安全和公司的利益是捆绑在一起的，管理层再不懂技术，也得为公司名声和利益着想啊。

不过，接下来各大公司泄密(包括小米和网易邮箱)也并没有就此停止。其中不得不提的就是大名鼎鼎的心脏出血漏洞(HeartBleeding)。

心脏出血漏洞是比较严重的，网站本身可能并没有做错什么，Bug来源于第三方的开源代码OpenSSL，而且来的有点太突然。黑客只需对使用OpenSSL的网络服务器发起恶意请求，就有很大概率可以得到正在访问的用户的密码或者其它相关的机密信息。

这一次漏洞波及全球大部分网站，算得上是全球性核弹灾难，被评为“互联网商用以来最严重的漏洞”。

受到影响的网站和App中就包括之前声称自己绝对安全的支付宝。虽然阿里巴巴在第一时间修复了问题，还是有不少用户的密码被黑客恶意获取。

说了这么多，其实就是为了说清一个观点：保证用户的密码安全是极其困难的。

而且，就算某个公司的数据100%安全，从来没有泄露过，那也没什么用。因为很多用户并没有安全意识。他们在很多网站的账号密码都是一样的，只要有一个网站出问题，其它所有网站的数据可能都不能幸免。

那么问题来了。密码这么不安全，我们真的需要密码呢？

我们并不需要密码

忘记过密码的人，可能经历过一件事。就是去网站重置密码。这个过程大致就是：

网站发一封邮件到你的邮箱里。

点击邮箱里的链接，跳转到刚才的网站，填写新的密码，重置密码成功。

为什么密码丢了我们还能够找回密码呢？这里面有个比较关键的因素：网站可以通过邮箱来验证你的身份。

也就是说，只要你证明了你账户信息里留的邮箱地址是你自己的，你就被验明正身了。在这里，邮箱地址替代了你的密码。

网站还可以给你的手机发短信，验证你是否拥有你的手机，来证明你的身份。这里，手机替代了你的密码。

上面这些验证身份的手段，是不是和密码所解决的问题一样呢？而邮箱地址和手机号码泄露出去，是不会对安全造成影响的。

有人可能又问：那邮箱或者手机丢了怎么办？这是另外一个问题了，你可能经常丢密码，但是不太可能经常丢手机。而且，保管好手机以及邮箱的安全，也比同时记住几十个不同的账号密码组合要容易得多。

如果这样更安全，为什么现在的网站和App还是希望用户通过密码的方式进行身份验证呢？如果我们直接将密码禁用了，就会遇到另外一个问题，用户的登录体验特别差。

用账号加密码登录可能连10秒钟都不到，通过邮箱或手机登陆的话，可能需要好几分钟，因为服务器发送验证邮箱和短信需要的时间不可预测，你也可能根本收不到。

有什么办法可以尽可能不用密码，又保证用户体验呢？

如果没有密码

你可能已经发现了，现在很多App和网站都可以通过微博，微信，QQ等方式来验证登录。

这个身份验证的原理其实和邮箱或短信验证是一样的，网站通过一个可信的第三方，去判断你的身份是不是正确的。

作为网站的开发者，如果你没有很多钱或者不愿意花精力去维护产品的安全性的话，请尽量采用这种方式来设计用户身份验证流程，这样你维护网站的安全成本就会大大降低。只要微信或者QQ保证用户的数据是安全的，用户在你这里，就也是安全的。

知名的博客平台Medium最早就只让用户通过Twitter来登录，以至于很长一段时间我都误以为Medium这个产品是Twitter公司的。虽说腾讯和微博以及Twitter的安全性并不100%保证，但至少也比小公司或创业团队强。

如果你同时接入了很多第三方登录工具，请尽量保证用户的身份是统一的。也就是说不要让同一个用户的QQ和微博在你的网站生成两份不同的用户数据。因为很多用户根本不会记得自己之前是通过微博还是QQ登录的，如果他们记错了，很可能误以为自己的数据丢了或者被盗了。

要是你不得不为自己的产品或服务设计密码登录的话，可以尝试降低密码的重要性。也就是说，用户的密码丢不丢也并不是很重要。

（编辑：应用网_丽江站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!