基於現有的被拖庫的資料庫進行撞庫攻擊，密碼的安全性太弱了，那麼下一代身份識別的特徵會是指紋或虹膜嗎？

01-09

基於已知（更多的是未知的）的被脫庫的資料庫以及大部分用戶在不同平台上的帳號密碼是通用的這兩個前提，很明顯「密碼已死」，那麼下一代身份識別（更多的平台和設備，比如各種物聯網設備）的特徵會是指紋或虹膜嗎？普及起來有大的障礙嗎？

大家說的都不錯，我謹補充一點工業應用案例

基於something you are的身份認證前景不錯，大家都知道密碼又討厭又難記，想做下一代身份驗證，但是誰會成功很難說，因為推廣不僅需要成本，還需要渠道（好吧還是成本），很多人有很多點子，現在我們打個比方，有人推出了手指靜脈識別+滑鼠行為識別，你劃劃滑鼠就知道你是誰，我們假設這個方案是靠譜的（誤報和漏報都低於可容忍水平），如何抵禦偽造已經很不容易啦，指紋就沒做好，但我們假設它做到了，要如何讓大家都用上呢？使用密碼不需要用戶承擔實質的成本，使用UKEY需要十幾到幾十塊錢的成本，使用OTP需要用戶持有被接受的設備，使用虹膜需要幾百元的成本，你很難要求用戶都用上支持虹膜識別的電腦或設備，廠商和用戶都不鳥你，使用這個方案也同樣得要求用戶用上指定的滑鼠，市場上好用的滑鼠那麼多，憑什麼用你？就算你解決了可移植問題（難），廠商和用戶仍舊不鳥你。這個世界上只有監管者對被監管者是大爺，他要你用新設備你就得用，他要你用ftp明文傳輸你就得傳，在市場上這一套是不存在的。蘋果是一個很值得學習的案例，它示範了如何正確地推廣一項新技術，並將巨額的研發成本分攤到巨大的出貨量上使邊際成本趨0。如果支付界認可指紋識別的安全性，自己的產品將很有機會成為主流，可惜指紋不被認可，它的安全性高於圖形密碼，不高於高複雜度密碼，密碼能盜用，能撞庫，指紋就不行了嗎？所以指紋只能用來做不重要的身份識別，如鎖屏。

這裡就不可避免地提到了，當我們實施安全防護的時候，我一定會評估，我為了保護什麼，花多少成本。為了保護我公開在互聯網上的公開信息，要強制我花幾十元？我不樂意。為了保護我的資金安全？那我不但要用雙重認證還樂意買份保險。當越來越多的人反應「胡說互聯網上的個人信息不是可被任意獲取的也是有價值的，甚至可被用於徵信給我這個人定價」，而不是「對啊網上是虛擬的不用為之負責的丟了就丟了我沒有被攻擊的價值」，安全意識才算普及了，這些針對個人的安全產品才真的有生存空間了。假定大家都用通用密碼，那麼那個平行世界離擁有安全意識還很遠很遠

個人觀點是：密碼沒死，普及靠錢

問密碼(password)的原因在於需要做用戶認證（user authentication）。

用戶認證一般基於以下的「參數」

1. 你知道什麼 What you know

比如密碼，密保問題，……

2. 你有什麼 what you have

比如 USB-Key，Smart-Card，

3. 你是什麼 what you are

指紋、虹膜、臉

還有種結合多種因素的隱式認證 (Implicit authentication，對這個不是很不了解)

不知道題主發現沒有，這三種驗證方式的成本明顯是遞增的。

驗密碼的演算法複雜度&<驗證物理設備的演算法複雜度&<驗臉的演算法複雜度。

存密碼（hash、鹽）的空間&<存物理設備和參數的空間(你總得帶卡)&<存臉的空間（eigen faces一個dimension上要的空間也比只有256~512bit的密碼大太多了）。

現在連各大站點的全站https（這還只要密鑰、隨機數等）都沒完全鋪開，更別說普及物理設備驗證了。(一個遊戲運營公司就得來個將軍令、密保卡什麼的，再加上銀行卡得有多少，丟了錢包的時候就更慘了……)

回頭來看拖庫大成功的原因：

1. 主要是撞沒加鹽的SHA-1和MD5（鹽丟了不能怪密碼……），用SHA3+鹽吧。

2. 用戶喜歡多站點設相同用戶名和簡單密碼。呃，那麼，記得用難一點的密碼。另外把最關鍵的密保郵箱和自己的真實身份綁定。（丟了身份證不能怪密碼……）

當然，關鍵部門以及安保部門早就在使用所有的驗證方式，尤其是基於物理的、不可替代的驗證因素的。（看臉看手的世界……）

==================================================

題外話，個人其實覺得，「密碼」作為password的翻譯並不十分精確，一個有點彆扭但是卻更貼切的翻譯是「通行字」。

說的好像虹膜和指紋就不會被撞庫一樣,而且這兩玩意你還真是想改都改不了.

你們用戶為了圖省事，用一碼通還賴別人了。攻擊者根本沒時間分析你這個密碼是什麼特徵怎麼來的，數據太多了。所以你換個後綴都比不改強。

以後肯定會有更複雜的用戶驗證機制，但是成本會比密碼高的多。對於安全性要求較強的服務，比如網銀支付寶淘寶，會優先使用。其他應用還是會普遍採用密碼的形式。

我覺得在未來發展的幾十年，可能會出現這種黑科技普及。

但是困難還是有很多的。

1、iPhone算是開始普及指紋驗證，但是下一代驗證由誰主導？攝像頭還是鍵盤？再或者是滑鼠、屏幕？技術都有，只是在商業範疇考慮是否值得量產而已。

2、如果建立在數據泄漏的基礎上，利用虹膜也沒什麼意義。

A.可被複制

虹膜驗證也不過是把你的生物特徵轉換成數字，還可以比喻成一把鑰匙、一個長一點，複雜一點的密碼。既然資料庫都被攻破了，你的生物特徵也就被可複製了。再加上3D列印，生物列印等技術。複製一個眼球，估計也不是難事了吧？

B.萬一數據泄漏，修改密碼的問題。

萬一你的虹膜信息被泄漏，你這個生物特徵並不方面修改。需要去醫院動刀子。

C.數據同步的問題。

甲、乙兩個網站的驗證都是用的你的虹膜。萬一甲網站數據泄漏了，你去用某種方法換了虹膜。那乙網站的驗證你也要跟著換掉。挺麻煩的。

數字簽名

藉助數字簽名可以實現兩個重要的特徵。

首先，基於公鑰加密演算法的數字簽名，簽名和驗證都在通訊雙方處進行（端到端加密）的，自始至終密鑰不在網路上傳輸，攻擊者無法單純通過竊聽來獲得密鑰。

然後，如果通過硬體來實現簽名（原理類似於 USB Key, 但不同於「將軍令」），那麼密鑰是無法複製的，這使得攻擊者無法通過網路複製密鑰。即便攻擊者獲得了用於簽名的硬體，也無法複製，如果直接偷走，那麼會立刻被所有者發現。

我記得多少年前，媒體就一直說，ipv4已死。我認為，密碼沒那麼快死。未來幾年，我看好手機指紋配合例如二維碼等等的安全登錄。虹膜識別？那要看未來手機廠商的給力程度了。

生物識別還更暴露隱私，這個比密碼還恐怖。

現在，語言識別也是很恐怖的暴露隱私手段，你經常使用微軟和蘋果和谷歌的語音搜索，他們會把你的聲線，存在資料庫一輩子的。指紋也是，虹膜也是，心跳什麼也是，還有說的使用習慣也是。

想一想，收集多年後，有一個機器人來到了一個mall商場，他聽到了二萬人同時講話的聲音，每個人都識別出來是誰了，你從北京跑到了紐約的Mall，機器人從來沒見過你，也知道你是誰了。

這就是恐怖的大數據，人工智慧等等

為了避免撞庫，密碼可以隨便買，指紋和虹膜你改一個試試？指紋和虹膜就是一次破解，這輩子就不可撤銷地被曝光了。

DNA？呵呵，增加了破解的成本而已。

生物特徵無非是更長的口令

你會把銀行賬戶的密碼寫在手指上嗎？但是你的指紋是長在手指上的。

這個問題關鍵在於你有多少有真正價值的東西在網上，從目前來看，真正涉及到大量金錢，比如網銀，安全保護都不只一重，所以我覺得總體來說還是相對安全的。密碼已死並沒有到來。

不是密碼的安全性太弱，只是普通用戶不願意花時間和精力管理密碼，再加上現在各種密碼激增，很多人為圖省事，不願一一設置密碼。指紋和虹膜識別的成本太高，不如使用密碼管理工具…

「各種物聯網設備」太寬泛，絕大部分物聯網設備根本不需要身份識別

指紋和虹膜的問題是識別成本高，泄露途徑多，最重要的是不能改…

指紋和虹膜仍以圖像方式進行採集和識別，因此仍然無法逃脫被偽造的可能。如果是接觸式驗證要好很多，但限制也大。

安全的根本問題仍然在

1）普通用戶的認知和技能無法和專業黑客比，因此被利用和攻擊不可避免。

2）系統缺陷永遠存在，只要被發掘並被利用，安全問題就可能發生。

密碼適合於最多場合和最普遍的用戶，所以還將繼續廣泛使用，不會死亡。

流行的認證方式是方便快捷而不是為了非常安全。支付寶快捷方式便是一個典型例子。

不專業，純扯

你考慮過哪些連打卡機都識別不出來的指紋么，何況。。。指紋這玩意，太容易作假了

將來盜號，去網吧沾一圈指紋回來，挨個試就行了，你還改不了

然後就有公司推出指紋擦除鍵盤，一次性可銷毀鍵盤

然後就有了幫到弄到你老公（老婆）密碼的詐騙服務