谷歌推出新功能, 密码不安全Chrome自动帮忙改

作为用户虚拟资产的钥匙，密码毫无疑问是无数黑客垂涎三尺的对象，然而遗憾的是，绝大多数网民并没有养成良好的密码使用习惯。如若不然，“123456”也不会稳坐全球最常用密码榜单的榜首。

为了保护用户的密码安全，互联网厂商可谓是操碎了心。在今年的I/O开发者大会上，谷歌为Chrome浏览器带来了一项有关密码的安全更新，在检测到密码存在被泄露或弱密码风险时，密码管理器会向用户提供一个自动修复密码的选项，用户点击修改按钮后，Chrome就会自动生成高强度密码、并完成替换，整个过程几乎不需要人为干预。

对于Chrome推出这一功能的原因，谷歌Chrome副总裁兼总经理帕里萨・塔布里兹（Parisa Tabriz）是这样解释的，“如果只是提醒用户密码强度很弱，但让他们自己去手动更换，这其实是一件很麻烦的事情。我们也知道如果某件事很烦人，人们不会真的去做，所以我们认为自动修改密码不仅提高了安全性，同时也提高了可用性，这对用户来说是双赢的事。”

在被问及Chrome是否会定期自动更换用户的密码，帕里萨・塔布里兹明确指出，Chrome不会在没有用户同意的情况下更换任何密码，修改密码始终是由用户自行决定是否进行，以及“我们非常注重让用户保持对密码更换的控制权。”

不得不说，Chrome的这一功能颇有巧思，也精准洞察了当下用户的特点。“别让我等，别让我想，别让我烦”，这其实就是如今产品经理在设计互联网产品时的基本原则，目的就是简化用户为了满足需求所需要的步骤。如今只是提示用户密码强度弱，可能存在泄露风险，以当下许多网民的调性，他们的选择几乎一定是“无视风险”。

当然，用户倾向于使用“123456”、“password”、"admin"等极为简单的密码，其实是人类的生理特性所导致的结果。在哈佛大学认知研究中心心理学家George Miller在上个世纪发表的著名文章《神奇的数字：7±2——我们信息加工能力的局限》中 ，就提到了“7±2法则”，即人类的短时记忆容量约为7个加减2个组块（短期记忆的信息单位）。

事实上，位列全球最常用密码榜TOP10的密码，无一例外都是“7±2法则”内的最简选项。

那么使用简单的密码有什么危害呢？答案是更容易被盗号。通常来说，黑客最常使用暴力破解与字典攻击来偷取用户的密码。暴力破解顾名思义，就是在大量计算资源的加持下，尝试每一个在给定长度下各种字符的组合，而字典攻击则是黑客根据用户习惯设置的密码，并收集起来编写成“常用密码库”。

密码长度越短，暴力破解需要的时间也就越短。例如黑客破解“123456”等全球网民最常用的10个密码，就只需要1秒钟，而破解排名54位的“admintelecom”则需要至少23天。所以为了解决这个问题，互联网厂商就开始要求用户将密码设计得更复杂，可这一要求又违背用户的天性。

为了避免用户放弃使用，互联网厂商又不得不妥协。事实上，为了一劳永逸地解决密码带来的问题，互联网厂商也做出过诸多努力。比如说“双因素认证”，可是在登录环节还需额外的硬件或接收验证码，就与要求用户记忆复杂的密码没有区别，都是在给用户添麻烦，所以自然也就不受待见。

紧接着苹果、谷歌、微软等大厂开始推广“无密码”，为用户提供密码之外的身份识别途径。然而“无密码”这一概念过于超前，由于相当多的用户不理解为什么不需要密码的FIDO协议、通用认证框架，能保证安全。而此前经过互联网、金融等行业数十年的市场教育，有账户就得有密码这个观念早已深入人心。

以至于技术先进、理念潮流的“无密码”并未得到用户的青睐，大家根本就不愿将密码的控制权完全交给互联网厂商。可尽管用户需要密码，但又不愿去记忆复杂的密码，这就是如今摆在互联网厂商面前的难题。此次谷歌在Chrome上设计的自动更换弱密码功能，就做到了两全其美。

密码本身继续存在，同时决定是否更换的权力也在用户手中。只需轻轻一点，密码就变安全，这就是Chrome希望告诉用户的事情。