前天️的文章提到"电脑上微信登录需要用微信验证“的事情,文章里对比QQ,说QQ上还有更多选择,比如账号密码登录。
这里涉及如何对待密码,以及密码的替代解决方案的考虑。
账号密码的作用
对信息系统来说,账号密码的存在,是因为:账号用以区别用户唯一性,密码用来保证用户操作的唯一性,以及数据的安全性。
所以问题的本质在于,系统如何确认用户及其操作。在手机普及、生物识别等应用以前,账号密码是这个问题的唯一解决办法。
这个方案里,密码的存在,对于服务方、用户方都是一个负担,作为个人数据安全的代价。
账号密码的负面
从服务方来说,要考虑如何在传输中保护密码;存储里密码如何加密保存;用户信息如何与用户密码捆绑,只有用户来能看到自己的数据等等。
从用户方来说,要考虑如何创建密码,怎么记住密码,以及哪里保存密码等。
但是,即便再周全的系统设计,也保不住被拖库,密码被暴力破解,个人密码泄露等等问题。从个人方面来说,出现了不少密码相关的建议,比如定期更新所有密码,比如不同服务使用不同密码,比如使用混杂无意义的密码等等,工具方面,也有不少,如类似1Password的方式保存密码,浏览器里也有保存密码自动登录功能。
而在服务方,为了避免字典攻击,一些网站强行要求创建复杂密码,比如必须包括大小写、字母、数字混合。对于这类强制使用强密码的网站,每次遇到都要让我抓狂。
移动时代的账号密码体系变化
在PC时代,(包括现在多数PC端的软件),账号密码是“识别用户,保护个人操作/数据安全”的通行的解决方案。但是到了智能手机普及时代,情况放生了变化。人手一机,手机作为人的“器官延伸”的外在条件下,如何改善用户识别体验,区别用户及其操作的唯一性,有了新的选择。
最早出现的是短信验证方式登录,通过填入手机,发送验证码,然后输入收到的验证码,以此获得登录权限,或者进行双重认证。
但是上述方式的过程还是需要多步操作才能完成。后来,引入二维码,通过特定的软件扫码后,手机上点击确认,就完成了PC端的登录过程。把短信验证的七步缩短为两部。
印象里面,我遇到的最早的二维码扫码登录验证,是13年(12年?)李笑来投资的一个(比特币相关)的项目,把手机当作“密钥”,通过手机扫描二维码登录,避免在Web上输入账号密码登录。
后来这种方式逐渐在那些同时有PC版的APP里流行开来。包括人人都有的微信。
从个人经验来说,真的很讨厌密码,以至于经常有这样的焦虑,担心忘了密码。也确实忘了一些服务的密码,好在这些服务也不会再用到。细想起来,“被忘记”的密码,都是由于网站方面的“变态“要求,被迫改变了密码的特征,导致无法记住。
微现场去密码的实验
所以早前在做“微现场”移动项目的时候,就思考是否可以放弃账号密码方案,并尝试了新的解决办法。
微现场是一个匿名位置相关移动服务,不存在数据的安全问题,系统所需要的,是能够识别哪个用户即可。因为完全基于手机,没有Web端,因此,默认每个在用手机是唯一的一个用户在使用,系统识别手机ID,即可等同于识别用户。从这个角度考虑,放弃了密码这个功能,在服务端没有保存密码的字段,在用户端,任何情况下,也都无需密码。
账号密码的演进
得益于智能手机的普及,以及升级,识别用户的方式,正发生着变化,比较明显的是指纹识别技术的运用。有越来越多人不再去记密码,采用了更方便的生物识别登录方式。比如iPhone,通过绑定TouchID,实现指纹的登录。新一代iPhone X,更进一步,采用人脸识别技术,作为密码的替代。
人脸识别与指纹识别的优势在于,不需要用户的主动参与。因为这点,在线下场景中,越来越多的项目在尝试人脸识别方式,为用户提供服务。
从以上的发展历史,可以看到“证明我就是我”的进化轨迹:创建并记住、输入只有自己知道的密码 -> 证明你拥有只有自己才能操作的手机 -> 提供你的生物特征(指纹)证明你自己 -> 你就是你(看得到的话)。
是不是可以断言,密码这个讨厌的东西,将逐渐被限定在越来越窄的使用场景,用户验证,则通过生物识别方式便利的完成。
微信pc端的登陆验证
回到微信为什么没有账号密码登录的问题。因为微信是先有APP,才有PC端,从登录来说,有了更方便的替代操作,就没有理由用到传统的账号密码方式了。而对于QQ,有些人用桌面QQ,但未必安装手机QQ。