有些人无法停止谈论密码的死亡。密码是旧的，不安全的，很容易泄露。很快，我们都将使用生物识别、硬件安全密钥和其他未来的解决方案，对吗？嗯，没那么快。

我们采访了1Password的安全主管Jeffery Goldberg，他说他“谨慎乐观地认为，这次我们可能会看到密码问题有所改善。”

这是一个乐观的看法，它远没有死亡的密码。

为什么人们想杀死密码

早在2018年5月，在讨论公司“构建一个没有密码的世界”的目标时，微软的安全团队写道：

“Nobody likes passwords. They are inconvenient, insecure, and expensive. In fact, we dislike them so much that we’ve been busy at work trying to create a world without them—a world without passwords.”

随着时间的推移，密码变得越来越烦人，我们都知道重复使用密码的风险。如果您在多个网站上使用相同的密码，并且存在密码泄漏，则可以使用您的密码访问其他网站上的帐户。因此，您需要为您使用的每个服务选择一个强大、唯一的密码。在少数网站上重复使用简短密码的日子一去不复返了。

对于大多数没有超人记忆的人来说，不可能为每个在线帐户记住一个强大、唯一的密码。这就是为什么我们建议密码管理器，他们记住所有这些强大的，唯一的密码给你。你只需要记住你的主密码，这比记住100要容易得多，而且比重复使用同一个密码要安全得多。

即使使用密码管理器，这也不是完全安全的。在你的系统上有一个键盘记录器的人可以捕获你的密码并以你的身份登录。这就是为什么服务增加了额外的安全性。我们通常键入一个密码，然后用一个代码或密钥进行第二次身份验证。

有更好的办法吗？

什么可以取代密码？

戈德伯格说，他看到“一个又一个计划”在过去20年中提出要杀死密码，其中许多人没有从过去失败的经验中吸取教训。但是，由于像更强大的本地设备这样的进步，新的可能会有更好的成功机会。

生物识别技术可以取代密码。您可以使用触摸或人脸识别（生物识别）来登录iPhone，而不是键入PIN。Android**也有指纹和人脸登录功能。

您现在还可以创建“无密码”的Microsoft帐户来登录Windows。您的用户名是您的电话号码，而您键入的“密码”是通过短信发送到您的电话号码的代码。

您还可以使用物理安全密钥而不是密码来验证您的在线帐户。您可以随身携带钥匙（甚至可以将钥匙放在钥匙链上），并在登录时通过USB、NFC或蓝牙使用钥匙。

**也可以代替密码。谷歌现在允许Android设备充当FIDO2键。在笔记本电脑上登录网站时，您可能还需要通过**上的指纹进行身份验证。

许多公司试图通过提供“单点登录”服务来减少对密码的依赖。这是当你登录到Facebook、Google等，然后使用该帐户登录到其他服务时，不需要额外的密码。

密码“替换”不替换密码

不过，这里有个大问题。被吹捧为密码“替代品”的技术实际上并不是替代品，至少现在还不是。

生物识别技术，如人脸识别或触摸识别，仍然需要在您的设备上同时提供密码和Apple ID密码。有些任务也需要一个用于后台加密的PIN。Android上的生物识别功能和windows10上的Windows Hello基本上是一样的，作为一种方便的功能。登录到您的设备更容易，因为您不必每次都键入密码，但它不会替换您的密码。

一个无密码的帐户发送电话号码给你也不是很好。此服务不会为您的帐户生成一个密码，而是在您每次尝试登录时生成一个新密码，并通过短信发送给您。与传统的单一密码加上登录时发送给您的安全代码的方法相比，这种方法的安全性较差。

不幸的是，攻击者很容易在许多情况下窃取电话号码，这使得这不太安全。在电话号码无处不在的国家，这是一个很好的联系方式，它减少了注册账户的摩擦，这也是亚马逊提供这种服务的原因。但替换密码并不是一个好的解决方案。

大多数采用物理安全密钥的服务都将其用作附加的身份验证选项。您仍然使用密码登录，然后提供安全密钥作为登录的辅助确认。不用密码就可以使用钥匙的能力还有很长的路要走。

单点登录服务也存在隐私问题。当你点击“使用谷歌登录”或“使用Facebook登录”时，服务运营商谷歌或Facebook知道你正在登录什么。

总是有密码（在后台）

即使谷歌用**取代密码的梦想成真，也不会消除密码。Verge这样总结了谷歌的计划：“如果你已经登录到你的**，那么这可以用来'引导'下一个设备，你想登录到你的谷歌帐户。”

你可以避免使用你的密码很长一段时间，但它仍然在后台。毕竟，如果你丢失了所有的设备，你就需要它。

密码仍然很普遍。它们易于设置和使用。密码“替换”提供了更多的方便或额外的安全性。但是，如果您丢失了设备并且无法使用生物特征或硬件安全，您将始终需要一种重新获得访问权限的方法。

1Password首席运营官马特•戴维（Matt Davey）表示：“我认为总会有一些需要密码的边缘案例。”。例如，在iOS 13中使用Apple登录提供了一个基于web的登录选项，在非Apple设备上登录时使用Apple ID密码。密码在任何地方都可以使用，并且在高级生物特征或硬件安全功能不可用时是通用的默认值。

正如Goldberg所说，对于网站来说，“密码是非常非常容易实现的”。“它们仍然是服务运营商使用的最直接的东西。”

这就是为什么1Password看好密码管理器的未来。该公司表示，即使竞争日益激烈，新用户也越来越多，苹果、谷歌和Mozilla等公司对密码管理也越来越重视。

未来会怎样？

扼杀密码的梦想遥遥无期。即使过程进展顺利，最好的情况是我们会慢慢前进，用更简单的密码替代。

总有一天，密码可能会被降级到后台，成为一种被遗忘已久的帐户恢复方法。但它们可能会在未来很长一段时间内出现。把它们从大多数人的日常生活中驱逐出去的斗争将是漫长而艰苦的。但完全杀掉密码？这更难想象。