在開發(fā)Windows8時，微軟面臨一個重要的挑戰(zhàn)就是如何幫助用戶管理你的數(shù)據(jù)身份，而且是以一種既方便又安全的方式。

當前，人們用以驗證自己數(shù)字身份的一個主要方式就是通過密碼

，用密碼來登錄計算機、銀行、網(wǎng)絡(luò)服務(wù)等等。微軟研究發(fā)現(xiàn)，在美國用戶中，每位PC用戶都擁有25個左右在線賬戶，而這些賬戶的獨立密碼只有6個，也就是說每個人都會經(jīng)常重復(fù)使用同一個密碼登錄不同的賬戶。

從一方面來講，這很容易理解，人們很難銘記大量的不同密碼，尤其是一些并不常用的賬戶。然而，密碼重復(fù)使用對于黑客來說卻是非常歡迎的，他們?nèi)绻軓囊粋€網(wǎng)站破解你的密碼，那么意味著很可能使用這個密碼登錄你其它的賬戶，省去了不少力氣。更有甚者，他們可以利用你的個人信息將你其它賬戶的密碼進行重置。

顯然，現(xiàn)在的用戶名+密碼機制并不是十分安全。微軟希望實現(xiàn)一種流暢、輕松、安全的Web體驗，但是記住一串長而復(fù)雜的密碼讓網(wǎng)絡(luò)體驗變得不痛快，使用簡短的密碼又不安全。理想的方案就是找到一種方法，讓你既輕松又安全地使用所有的數(shù)字身份。

微軟認為要應(yīng)對這個挑戰(zhàn)，有兩種基本的方法。其一，讓W(xué)indows來幫助你管理密碼

。如果你在訪問每個網(wǎng)站時用的都是非常復(fù)雜而又獨立的密碼，這些密碼又不需要你來記憶，那么比你使用便于記憶但是十分簡單的密碼安全多了，黑客們也不容易下手了。

第二種方法是，使用其它東西替代密碼來保護你的身份。

密碼的替代品有很多，例如OTP（一次性口令）、證書、智能卡等。然而這些技術(shù)雖然已經(jīng)出現(xiàn)了很久卻并未被大眾所接受，一個主要原因就是不易于使用，沒有密碼使用起來那么便捷。

在Windows8中，微軟提供了一種安全存儲用戶名/密碼的機制，引入了一種支持可替代身份驗證的技術(shù)。這些可以幫助用戶增強密碼安全、使用最新最強大的技術(shù)來保護你的數(shù)字身份。

密碼的缺點

攻擊者會利用很多方法來獲取你的密碼，最常見的有：

—釣魚：發(fā)送惡意郵件、誤導(dǎo)用戶點擊鏈接、重置密碼等來獲取你的密碼；

—猜測：根據(jù)用戶習(xí)慣、個人信息等進行猜測；

—技術(shù)破解：攻擊者可以從網(wǎng)上下載一些數(shù)據(jù)（通常是密碼的散列值）用以破解你的密碼；

—鍵盤記錄；如果攻擊者能順利在你的機器上安裝一個鍵盤記錄器，那么就能盜取你的用戶名和密碼。

完善密碼的安全性和可用性

你可以采取很多方法來保護自己的密碼免受上述類型的攻擊，最重要的一點就是時刻保持你的PC是安全清潔的，確保沒有惡意軟件。Windows8包含一系列的防護功能，例如安全啟動（SecureBoot）、智能篩選器（SmartScreen）和WindowsDefender。

不過，有些攻擊（例如猜測）則僅僅要靠密碼強度來防護，所以你需要為每個賬戶設(shè)置一個復(fù)雜的密碼。

Windows8通過兩種方法簡化了管理復(fù)雜密碼的難度。

第一，自動將你訪問的網(wǎng)站、使用的應(yīng)用程序的多個用戶名和密碼進行存儲、檢索，當然是以一種受保護的方式。

IE10就采用了一種證書，存儲你所訪問的網(wǎng)站的用戶名和密碼。另外，任何開發(fā)人員在開發(fā)Metro風(fēng)格應(yīng)用程序的時候都可以直接使用一個API來安全地存儲和檢索證書。

Windows8允許你存儲和管理所有登錄認證

第二，使用WindowsLiveID登錄Windows8。這樣做的好處是，當你使用WindowsLiveID登錄Windows8后，就能同步你存儲在所有“可信賴”Windows8計算機上的認證。

當你使用WindowsLiveID登錄Windows并存儲了相關(guān)認證后，Windows8將以你的名義自動提交證書，而不需要你來記憶這些復(fù)雜的密碼。如果你想要查看這些密碼，那么可以到任何一臺“可信賴”PC的認證管理器中查看。

創(chuàng)建一種簡單的密碼替代品

雖然使用復(fù)雜的密碼不容易別攻擊者猜到或是破解，但是卻可能會遭受釣魚攻擊或鍵盤記錄。不過，也有很多替代品可以防止你受到此類攻擊。

一種就是公共/私人金鑰組（keypairs），不過盡管這種技術(shù)已經(jīng)很常見，但是卻仍未能替代傳統(tǒng)的密碼登錄。為什么呢？主要原因就是一個私人密鑰的強大保護需要特殊的硬件，例如硬件安全模塊（HSMs）和智能卡，而通常使用這些硬件也是很不方便的。

不過，Windows8的一些新功能就能讓用戶和應(yīng)用程序開發(fā)人員都能輕松使用公共/私人密鑰技術(shù)。Windows8采用了一種新的密鑰存儲提供器（KeyStorageProvider，KSP），該功能對于銀行或商業(yè)應(yīng)用非常有用，因為它提供了一種非常強大的保護，使得用戶免受現(xiàn)在網(wǎng)絡(luò)上常見的身份攻擊。

在開發(fā)Windows8時，微軟面臨一個重要的挑戰(zhàn)就是如何幫助用戶管理你的數(shù)據(jù)身份，而且是以一種既方便又安全的方式。

【編輯推薦】

1. 日參院服務(wù)器遭侵入 參議員賬號密碼或外泄
2. 2011年最差的25個密碼 你是不是其中一個？
3. 10個免費的在線密碼跟蹤工具
4. 新網(wǎng)站可以檢測出用戶密碼信息是否已經(jīng)泄漏