办公技巧答案2018(密码该被淘汰了吗？)

我相信生活在这个时代的你我，每个人都应该拥有各种需要填写密码的东西吧。小到手机的锁屏密码，大到我们的支付密码以及银行卡密码，每个人都或多或少用友属于自己的一串数字。

但是你知道吗？现在这个时代，密码很容易就会丢失。这一切都的根本原因就是：服务器保存了我们的密码（不管是明文的还是Hash过的）。

“我们需要把自己记忆的密码发给服务器做验证，这就给了攻击者可乘之机”的意思是我们需要把密码发送到服务器，以便服务器验证我们的身份，这个过程中，攻击者可以窃取我们的密码。但是，如果我们使用指纹、虹膜等生物信息来验证身份，会不会更加安全呢？答案是否定的。虽然我们不用记忆各种密码了，但攻击者一旦获得这些生物信息，就可以冒充我们，为所欲为。本质上，这种方式和保存密码是一样的，都是与服务器共享了一个秘密。

如果不和服务器共享秘密，服务器就无法进行身份验证了！但是，如果不进行身份验证，服务器怎么知道您就是您呢？这个问题在几十年前就被迪菲和赫尔曼考虑过了，他们提出了非对称的密钥算法。这种算法中，每个人可以持有一对密钥：public key（公钥）和private key（私钥）。

迪菲和赫尔曼曾经尝试了不少算法来生成公钥和私钥，但一直没有找到合适的方法。一年后，麻省理工学院的三位教授基于大数分解的原理，提出了RSA算法，才最终解决了这个问题。

利用非对称加密的特性，我们可以为自己的账号生成一对公钥和私钥。将公钥发给服务器进行保存，而私钥则由自己保存，这样就不用与服务器共享秘密了。

我们登录时，服务器会生成一条随机消息。我们使用本地保存的私钥对消息进行签名（即对消息进行哈希，然后使用本地保存的私钥进行加密），并将签名发送给服务器。服务器使用相应的公钥验证签名。如果签名正确，则证明该次登录是合法的。

私钥非常重要，不能让任何人知道，也不能将其发送给任何系统。最好将其保存在本地硬件中，并通过指纹、面部识别、声音、PIN等方式进行访问。

当然，新事物的发展不会那么一帆风顺的，尤其是牵扯到各方利益的情况下。

也许有一天，你突然发现，你用指纹识别就可以登录网站了，到时候可以回过头来看看这篇文章。