一直以來，密碼都是維護計算機安全的核心技術和黃金標準。

密碼算法和協議作為解決人、機、物的身份標識，身份鑒別，統一管理，信任傳遞和行為審計問題，是實現安全可信、可控的互聯互通的核心技術手段。

也正因如此，針對密碼的網絡攻擊從未止息，甚至呈現愈演愈烈之勢。

2020年1月1日正式實施的《中華人民共和國密碼法》將密碼分為核心密碼、普通密碼和商用密碼。其中商用密碼用于保護不屬于國家秘密的信息。本文討論的密碼主要指商用密碼。

隨著新技術新應用的迅速發展，密碼作為網絡安全基石，在相關技術、標準、應用等方面也得到了快速發展。

近期，中國軟件評測中心、中國計算機行業協會數據安全專業委員會編制并發布《商用密碼應用安全性評估白皮書（2021年）》（以下簡稱《白皮書》）。

《白皮書》指出，近年來我國密碼算法設計分析能力達到國際先進水平，我國自主設計的ZUC序列密碼、SM2公鑰密碼、SM3雜湊密碼、SM4對稱密碼、SM9標識密碼等商用密碼算法已成為國際標準，這些標準覆蓋了密碼算法、產品、技術、檢測、應用等多個方面，我國密碼標準體系正日益完善。

在產業側，《2020—2021中國商用密碼產業發展報告》顯示，2020年我國商用密碼產業規模突破466億元，同比增速超33%。

在行業應用方面，密碼技術和產品已廣泛應用在通信、金融、教育、醫療健康、交通、能源、國防工業等領域。

例如，在物聯網應用場景中，傳統身份認證方式許多都是采用普通的口令認證，密鑰強度低，安全隱患突出。

目前許多專業安全廠商提供基于商用密碼的物聯網安全解決方案，覆蓋云管端三個層面，實現密鑰安全分發、身份認證、數據加密/簽名等安全服務。

商用密碼在物聯網領域的應用視圖（來源：中國軟件評測中心網絡空間安全測評工程技術中心）

電信和互聯網行業歷來是數字化進程的先驅，商用密碼在護航行業數字化發展，保障用戶數據安全過程中發揮著重要作用。

例如，中國電信提出“商密云”，采用商密云存儲系統的“云+端”架構，實現商用密碼技術和云存儲技術的融合。

此外，商用密碼在云平臺運維系統中也發揮了重要作用，諸如在某運營商機房之間通過專線連接，VPN專線采用用戶名+PIN+Ukey方式進行身份鑒別，系統登錄采用賬號ID+PIN碼+Ukey方式，通過發送隨機數字進行校驗等，全方位保障數據安全。

商用密碼在電信和互聯網領域的應用視圖（來源：中國軟件評測中心網絡空間安全測工程技術中心）

盡管密碼技術、產品、標準等發展迅速，相關行業需求也十分強烈，但密碼的發展在許多方面仍舊面臨諸多問題。

《白皮書》指出，目前我國商用密碼應用領域不夠廣泛，應用方式還不夠規范，應用服務尚不夠安全，應用需求難以契合等。

而從全球來看，來自密碼的安全問題不容樂觀。

微軟的一組數據表明，幾乎80％的網絡攻擊都是針對密碼的，每天有250個企業賬戶會遭到黑客攻擊。

Verizon 2021年數據泄露調查報告中的一項統計數據顯示，61%的安全攻擊事件可歸因于憑據被盜。

身份認證領域的密碼安全問題始終都是整體安全防護中的薄弱環節。

不僅如此，還有更加令人憂心的事實：My1Login的一項研究表明，雖然有人們都知道什么是強密碼，但53%的員工卻并不總是使用強密碼，并且85%的員工在接受安全培訓后仍會在各個業務應用中重復使用密碼。

也就是說，網絡安全培訓很多時候在提高員工保護企業數據意識方面并沒有達到預期效果。

因此，探尋其他有效的密碼管理方式和身份驗證手段，成為企業維護網絡安全的當務之急。

密碼管理帶來的成本也是一個不可忽視的重要因素。有調查數據顯示，全球員工平均每年花費11個小時輸入或重置密碼。

對于平均擁有15000名員工的公司，這直接導致生產力損失520萬美元。

因此，不僅是安全問題，改善用戶體驗也成為越來越多的人開始嘗試新的驗證方式的理由。近年來出現了許多新興技術和新應用方式，正成為代替傳統密碼技術的新突破點。

無密碼（passwordless）技術作為一種新興的安全技術和身份認證手段，正成為許多企業和安全廠商研究的重點。

此外，量子密碼作為以量子力學和密碼學相結合的新興技術，正成為密碼新技術的一個重要研究分支。目前業界的研究主要集中在協議設計與分析、密鑰分發、身份認證、秘密共享、安全直接通信等方面。

無密碼身份驗證通常包括面部生物識別、硬件密鑰、動態二維碼認證、行為分析認證和零知識證明等技術。

面部生物識別（人臉識別）在當下已得到廣泛應用，并在許多場景下取得不錯的體驗。

雖然面部生物識別在識別準確性與抗攻擊等方面仍存在不足，但隨著技術的提升，該項技術在發展前景上非常值得期待。

硬件密鑰或基于硬件的一次性密碼（OTP）形式多樣，可以置于小型USB、NFC或藍牙設備，也可以內置在用戶手機中，在本地物理設備上實現對用戶登錄的身份驗證。

動態二維碼認證也可用于身份驗證，用戶通過掃描綁定到用戶身份的二維碼，觸發生物識別掃描來確認身份。

行為分析認證通過某些獨特因素諸如鼠標移動、打字習慣、登錄歷史記錄等，并配合其他驗證手段來確認用戶身份。零知識證明（ZKP）身份認證是將密碼轉換為復雜且唯一的抽象字符串，通過相匹配的隨機序列來證明客戶端與服務器上的相應的數據集相同。

此外，還有企業嘗試利用由深度神經網絡驅動的聲紋算法，實現特殊的語音認證解決方案，以解決用戶身份驗證與欺詐問題。

在國外，Ping Identity、RSA、Okta、微軟和Duo等公司都已為客戶提供了自己的無密碼平臺，例如微軟的用戶可以使用AzureActive Directory 以及微軟民用服務進行無密碼登錄。

Ping Identity為用戶提供一種多步驟的無密碼方式，它通過將身份驗證手段相集中，并將基于風險的MFA和FIDO登錄密鑰用作不同級別的驗證。

當前無密碼技術尚處于不斷摸索和完善過程中，許多方面也存在一些爭議，但業界很多人對此保持樂觀。

Ping Identity公司的創始人兼CEO Andre Durand預測，在未來三到四年內，無密碼安全將成為常態，但只有在不犧牲安全性的情況下方能消除對它的爭議。

誠然，企業過渡到無密碼解決方案需要一定的成本與投入，不過從某些程度上來說也是值得的。

無密碼技術不僅可以減少企業的攻擊面，增強終端用戶安全性，同時也促進了多因素身份認證的采用以及遏制網絡經濟犯罪。但總體上講，無密碼技術的普及尚需時日。

密碼是既古老又新穎的一項安全技術，步入智能時代，密碼技術不會隨著新安全技術的發展而消失，密碼安全也并非單純追求密碼“有無”的問題，如今它依舊不可或缺，并將通過新的方式換發新生機，最終完成在解決安全問題的同時能為用戶帶來良好體驗的使命。

本文來自微信公眾號“科技云報道”（ID:ITCloud-BD），作者：科技云報道，36氪經授權發布。