“无密码时代”的前奏：Yahoo Account Key

雅虎已经宣布通过一种无密码的方式登录帐户，以提高账户的安全性和可用性。

Yahoo Account Key 通过将通知推送到移动终端设备，以一种方便快捷的方式，去访问雅虎账户。

该服务的具体流程如下：

用户首先要注册使用Yahoo Account Key服务，之后再登录雅虎邮件时就无需输入密码。相反，Yahoo Account Key服务会向与该账号捆绑的智能手机发送一条消息。这时，用户可以通过选择“Yes”或“No”以允许或拒绝登录。

如果智能手机丢失或被盗，用户还可以通过发送电子邮件或手机短信来验证自己的身份。

这意味着用户不再需要记住复杂的密码，同时也将增加账户的安全性。Account Key被雅虎认为是比传统的密码设置更安全，因为一旦它被激活，即使黑客能够获取帐户信息，但他们也无法登录帐户。

据悉，Account Key将会被应用到新的雅虎邮件app，而雅虎其他的app也将陆续在今年增加该方式。

雅虎的无密码推进之路

这一举措，离雅虎之前采用单一的短信验证码取代传统密码已经有七个月了，雅虎也表示，这是迈向“无密码时代”的第一步。

此前，雅虎是旨在引入一个第二认证因子以及为了解决忘记密码和多个账户设置同一密码等问题。

据雅虎产品副总裁Dylan Casey所述，

密码本身是很难记住的，而二次登录验证从使用上也是不方便和容易造成混乱的。我们目前通过使用推送通知的方式，使用户通过手机移动终端就可以安全的、便捷的访问雅虎的账户，使得雅虎账户登录上向着“无密码时代”跨出了一大步。

账户登录访问权限问题

雅虎也是长期被认为是用户名和密码的安全机制不健全，一些安全评论员先前对雅虎将验证方式切换到短信验证上也持续持批评不认可的态度。

按照雅虎的的最新计划，目的在于在用户登录账户时消除密码，但按照目前的舆论环境，该方式也很可能受到类似的指责。

在谈到关于雅虎的短信验证服务上，独立安全顾问Graham Cluley认为，如果仅仅只是将在线账户的访问权限转移到移动终端设备的访问权限上，那么从目前来看，这并不是个好事情。

Graham Cluley在他的博客上写到：

一开始，所有未经授权的用户需要的是自己本人的雅虎用户名和进入手机查收的权限。而利用你的智能手机的系统设置情况，有人甚至可能不需要解锁你的设备，就可以读取设备刚刚收到来自雅虎的短信。

按照Cluley的想法，雅虎应该促进通过密码管理软件的方式来进行密码管理，利用像LastPass, one Password 或者 KeePass等密码集中管理软件。

密码管理软件，将使得用户不再需要记住各种账户的密码，而这种方式，可以使得用户对他们的账户设置高强度以及具有唯一性的密码，这无疑大大增强了密码的安全性。

密码时代终将终结

安防行业在很早的时候就意识到，当前的账户密码越来越不安全和难用，而在这个过程中，密码却一步步变得更加复杂、更加难记。

The Fast Identity Online（FIDO）是 众多IT公司–包括Paypal ，联想和谷歌的联盟，其目的是希望通过制定行业通用的、基于标准的开放式协议来改变在线认证的安全性问题。

在2014年10月，谷歌通过推出USB安全密钥，来消除依赖手机进行双重验证等方式以及防止黑客窃取密码。

FIDO协议旨在解决强认证技术给用户带来的不便，以及减少用户登录账户时对使用用户名和密码登录的依赖。

FIDO标准协议，目前支持全面的认证技术， 其中像生物识别技术，以及现有技术如可信平台模块，USB安全令牌，嵌入式安全元件，智能卡和NFC。

结语

在互联网迅猛发展的今天，我们接触的众多产品，互联网产品也好，app也罢，其中安全性愈来愈成为产品竞争力中更为重要的一部分，拥有高安全性，也意味着将有更好的发展空间。

参考来源：computerweekly 编译/troy