近日，苹果应用商店出现大面积盗刷，大量苹果账户和密码在网络上被公开出售。在互联网时代，我们一直将密码视为我们最后的保护色。但是现在看来，我们向科技平台们交出了密码，似乎也交出了保护个人信息的主动权。

当密码数据都开始在网络上被打包出售，你是否脊背发凉？

当我们无计可施，或是抱着侥幸心理庆幸这些倒霉蛋不是自己的时候，Mark Wilson向科技平台们发出了灵魂拷问：

“你们让我设置这些密码到底有什么卵用？”

同时，他还为我们提供了一个回路清奇、简单粗暴的解决方案：

“直接禁了大部分网站的密码功能就行了。”

那你可能会问，“没有密码，我和裸奔有什么区别？”别着急，小编带你来看看他的实力吐槽和改革方案。

你让我设密码到底有什么用？

密码管家替我保存了853个账号密码。根据专家统计，人均拥有的密码数量为50到200个，而且总那么十几个压箱底的旧账号&配套的密码。

互联网时代，各类平台众多，数据泄露并不鲜见。任何平台都有被黑的风险，个人数据分分钟就沦落到暗网里被拍卖。对于这些形形色色的科技平台，我只有一个简单的问题：你让我设密码到底有什么卵用？

我们傻傻地为一个又一个无关紧要的账号设置密码，以为密码=安全。然而当其中一个被黑时，我们更重要的账号其实会面临更大的风险。依我看来，这些密码都应该被禁止。密码是一种安全错觉，它们满足的是数据挖掘公司的利益。

当然，我说的不是重要的邮箱或者个人社交账号，而是那些乱七八糟的软件应用。比如MyFitnessPal（一款减肥健身类APP），最近它不是有1.5亿名用户的账号被盗了吗？还有Spotify（流媒体音乐平台），逼你设置密码，然后又鼓励你跟全世界分享你的歌单，这是何用意？

多个计算机科学家后悔参与创造密码

密码到20世纪60年代才诞生。麻省理工教授费尔南多·柯巴托（Fernando Corbató）开发出第一个密码，用来保护学校里的大型主机电脑。因为里面学校个人的相关信息，不能随便让人访问。

（世界上第一个密码的创造者：麻省理工教授费尔南多·柯巴托）

这在当时是一个很好的解决方案。管理员创造秘密的单词作为进入系统的“钥匙”，好比地下酒吧的进门暗号。但随着网络规模的扩大，曾经优雅简单的解决方案却变得繁冗累赘。2014年，柯巴托告诉《华尔街日报》，“万维网的诞生使它（密码）变成了一个噩梦。”他自己也没能逃过这个噩梦，已经在小抄上记了150多个密码。

后悔参与创造了现代密码文明的计算机科学家不止柯巴托一个。2003年，威廉·伯尔（William Burr）在美国国家标准与技术研究所（National Institute of Standards and Technology，简称NIST）担任经理。他创建的密码指南至今仍回荡在我们耳边：每90天更换一次密码，使用大写字母、数字和符号的组合。

“这套系统大概是太复杂了，很多人都不太明白。而且老实说，最后都是白费力气。”2017年，伯尔告诉《华尔街日报》。“只会把人逼疯，不管你怎么做，他们就是不会挑选好的密码。”

这种密码指南并没有错，只是根本难以维持。即使是保存密码并自动填充，更新这么多账号也很烦杂。所以，即使知道密码不安全，我们也根本懒得更新。LastPass通过研究发现，91%的人知道不同账号套用同一个密码是有风险的，但59%的人仍然在不同平台使用同一个或者几乎一样的密码；53%的调查对象表示过去12个月内未曾更改过密码。

理性讨论：你真的需要密码吗

大部分科技公司认为责任在于用户，都怪又蠢又懒的群众任性地把12345678当密码。谷歌给Pixel 3手机开发了一个特殊的密码保护芯片，同时创建开放标准，使用硬件复查软件密码，所谓硬件就是你口袋里的手机。

（谷歌手机内置Titan M芯片，保障手机密码安全）

这种让现有密码变得更安全的做法用在邮箱、社交账号和银行账号上很合理。这类平台既展示了我们的公众形象，又保存了我们需要获取的各类私密信息，小到我们收发的消息，大到贷款按揭。但除此之外，其他公司如果关心用户的安全，就应该彻底弃用密码。

仔细想想：大部分公司使用密码保护的其实是它们自己。没有密码的账号完全可使用，但Hulu视频网不想让别人免费使用你的付费订阅，于是给它加了个密码。这种思维并不是Hulu特有的，市面上几乎每一个订阅式应用或网站都是如此。

废除这些密码可能会引发你对于信息泄露的担忧。你可能会问，那我宝贵的账号信息和存了档的信用卡呢？我的地址呢？这种问题也有解决办法：不。要。让。别。人。访。问。这。些。信。息。用。户。本。人。也。不。行。我就把我的信用卡信息或社保卡号给了你一次，不代表我的账户页面非得再次显示这些信息。再说了，大部分公司压根不应该长期保存这种信息。你以为我要买多少张茶几？我问的就是你，Wayfair（家具电商）！

至于其他类型的信息：我这个星期做了多少个仰卧起坐？我家狗子拉了多少次粑粑？……这位黑客大哥感兴趣？拿走拿走别客气！要多少有多少！如果企业关心我的隐私，那他们的应用界面里就不应该到处都是“分享”按钮。如果能保护重要的信息，那我非常乐意放弃这些平淡无奇的生活细节。

我向兰德公司（RAND Corporation）信息科学家、DEFCON黑客大会黑色徽章持有者莉莲·阿布隆（Lillian Ablon）提出了这个想法，她说，“这个前提有意思。”阿布隆似乎不赞成放弃密码，但她认为，密码可以实现自动化，免了用户担忧。

“针对你所描述的账号类型，一个把用户排除在外（同时又能实现身份验证和访问控制）的解决方案会比较理想。”阿布隆写道。“比如设备驱动型的验证方式，连接密码管家，为每一个平台随机分配一个新密码，或者其他。”

“‘你真的需要密码吗？’，我从来没问过这个问题。”安全分析师马克·伯内特（Mark Burnett）惊讶地说道。“多年来，我们一直教导大家接受一个事实，那就是你必须证明自己的身份，即使是最微不足道的账号也需要隐私保护。”

但最后，伯内特指出，极其细微的东西都可能引发重大的安全问题。就连歌单也能透露用户信息和情况，甚至是行动轨迹。他指出，黑客使用“水坑攻击”和“鱼叉攻击”两种方式。前者攻击一个地方，比如美国国防部成员下班后常关顾的店，而后者可能通过冒充助理攻击某位高层CEO。在最极端的情况下，哪怕是最细微的信息，我们也需要保证其安全。

“我们需要密码。”伯内特说道。“一切信息都带有某种风险，即使极小；即使我们无所谓，对他人也可能存在风险。”但在我看来，假如我家有亲戚是公职人员，假如Facebook用户没有被剑桥分析公司剖析，假如每一台手机都没有内置唯一“广告标识符”（经过散布传播，它被营销行业大肆利用，从而向我们所有人发送更具针对性的广告），那么这种理论还能勉强说服人。

“与其禁止密码，我们应该让密码变得更好用，更容易验证。”伯内特总结道。我举双手赞成。但在那之前呢？请禁止多余密码。毕竟，对我们真正在乎的账号来说，它们也是严重的安全隐患。

责任编辑：焦旭