编者按 自2001年起，美国《麻省理工科技评论》杂志每年评选出年度全球十大突破性技术，不少当年崭露头角的技术，如今已深刻改变我们的生活，推动了人类社会的进步。今年评选出的突破性技术包括终结“口令”、长时电网储能电池、AI 蛋白质折叠、除碳工厂。本报自今日陆续刊登2022年该杂志评选出的年度“突破性技术”和相关专家所作点评，以飨读者。

    20世纪60年代，“口令”（Password，俗称“密码”）最早被图灵奖得主费尔南多·科尔巴托教授用于大型机的本地文件访问权限。20世纪90年代，互联网开始进入千家万户，“口令”也在互联网世界得到广泛应用。随着网络账号增多，用户为了方便记忆倾向使用流行“口令”、在“口令”中使用个人信息、在多个账号重用“口令”，导致严重的安全隐患。

    自2000年以来，数以百计的新型身份认证方案陆续被提出。其中，无“口令”方案近年来受到企业的青睐，比如谷歌、苹果、微软等公司，都为用户提供了无需输入“口令”就能登录应用和服务的身份认证方案：在无“口令”身份认证方案中，要么用户拥有一部带摄像头或指纹识别器的移动设备，并安装相应的身份认证应用程序；要么用户拥有专门的硬件设备，以存储身份认证所需的密钥及算法参数。

    当前无“口令”身份认证方案仍在初级阶段，面临可扩展性低、部署成本高、隐私泄漏等挑战。在可预见的未来，“口令”仍将是最主要的身份认证方法，无“口令”方案可能会使普通用户对“口令”的直接接触变少，但“口令”仍在幕后保护着我们的网络与信息安全。

    点评专家

    马建峰（西安电子科技大学网络与信息安全学院教授 ）

    汪  定（南开大学网络空间安全学院教授、密码科学与技术系主任，天津市网络与数据安全技术重点实验室副主任）

    陈晓峰（西安电子科技大学网络与信息安全学院教授）

    身份认证是保障网络安全的第一道防线，“口令”是最常用的身份认证方法。近年来频频发生的大规模“口令”泄露事件，为黑客和不法分子破解用户账号“口令”提供了源源不断的信息，引起人们对“口令”安全性的担忧。在这一背景下，美国Okta、 Duo等面向企业用户的公司，微软、谷歌等面向个人用户的公司，都为用户提供了无需输入“口令”就能登录应用和服务的身份认证方案，引起社会广泛关注。实际上，这是终结“口令”的第二次浪潮。

    20世纪90年代以来，随着互联网服务，如电子邮件、电子商务、社交网络蓬勃发展，“口令”账号越来越多。为方便记忆，用户倾向使用流行“口令”，在“口令”中使用个人信息，如姓名、生日，在多个账号间直接重用或简单修改后重用“口令”，导致严重的安全隐患。在攻击者的计算能力不断增强这一背景下，自2000年开始数以百计的新型身份认证方案陆续被提出。

    2004年，时任微软董事长的比尔·盖茨，就对外宣称微软将不再使用“口令”，掀起了终结“口令”的第一次浪潮。微软与当时世界最大的安全公司RSA合作开发了一种名为SecurID的技术，这种技术本质上是一种“硬件设备+验证码”的双因子认证。与此同时，微软还开发了一种名为“tamper-resistant”的生物ID卡识别技术，本质是一种“生物特征+硬件设备”的双因素认证。随后，学术界陆续指出“安全的‘口令’记不住，能记住的‘口令’不安全”的问题，提出了数以百计的各类新型身份认证方法，如基于生物特征、行为特征的认证，基于图形“口令”的认证和单点登录等。

    出乎意料的是，始于2004年的这波终结“口令”的浪潮，到2009年左右逐渐悄无声息了，“口令”的地位不仅没有被撼动，反而得到了更广泛的应用。

    当前，无“口令”身份认证方案仍处于初级阶段，还存在明显的缺陷：一方面仅在大型公司的少数平台和设备上应用，未考虑旧版本的系统和不使用智能手机的人群；另一方面由于需要特定版本的系统或平台导致可扩展性低，涉及硬件导致部署成本高，生物特征的不可更改性导致存在隐私泄漏风险。此外，无“口令”认证方案降低了用户对身份的控制权，52%的被调研用户表示不接受把信任链条传递到手机等设备。截至2022年2月，78%的微软云服务企业用户仍将使用账号名和“口令”登录，只有22%的用户启用了基于“口令”的多因素认证或无“口令”方案。

    在未来的日子里，“口令”仍将是最主要的身份认证方法之一，是一种应急认证手段。

    （本文摘自国家自然科学基金委员会《中国科学基金》2022年第3期MIT Technology Review 2022年“全球十大突破性技术”解读，内容有删节）