保護密碼最好的方案，就是放棄密碼。

一年前的蘋果全球開發者大會（WWDC）上，蘋果展示了一種基于“iCloud鑰匙串”的無密碼登錄技術，當用戶使用Safari浏覽器時，可以直接通過生物識别方式填寫保存的密碼。

在本周的WWDC上，蘋果繼續将此項技術完善，并将其命名為“Passkeys”（萬能密碼）：用戶無需複雜的組合密碼，甚至不需要驗證碼，僅需一組儲存在設備端的數字密鑰即可完成相應網站或App的登陸。

不單是蘋果，其他互聯網公司同樣也開始在自家設備或平台上嘗試“無密碼登錄”，包括谷歌、微軟、雅虎等公司均提出了相應的解決方案，目的就是取代傳統的“純密碼登錄”。

用業内人士的話來說，純密碼就是“20世紀的遺産”，黑客可能很容易盜取密碼；而站在用戶的角度來看，絞盡腦汁想出的組合密碼經常就會被遺忘。

那麼這場“無密碼”的革命，真的能開啟隐私安全的“新時代”嗎？

曾經，蘋果也因為“密碼洩露”焦頭爛額。

2014年9月，蘋果的iCloud遭到黑客攻擊，大約200位名人明星的私密照片在互聯網上傳播，引來衆多網友吃瓜。

其中一位黑客使用的方法十分簡單，通過廣撒網的釣魚郵件，該黑客輕松獲取了受害者的賬号與密碼，并且由于蘋果當時沒有設置必要的驗證機制，因此他可以直接通過密碼就進入這些賬号。

這次事件讓蘋果被推到輿論的風口浪尖，一些受害的名人甚至直接在社交平台上說出“thanks Apple”這樣嘲諷的話。此後，蘋果開始鼓勵用戶采用雙因素認證，該技術通過基于時間、事件和密鑰産生的一次性密碼來代替傳統的靜态密碼，可以一定程度上避免未經授權的登錄行為。

但這種“強加”的兩步認證依然可以通過暴力驗證、修改IP地址等方式進行破解，并且複雜的操作還被用戶起訴幹擾了設備的正常使用。不過在沒有更好的方案之前，雙重認證依然是保護賬戶安全的有效方法。

既然任何輸入方式都存在被破解的風險，蘋果幹脆選擇了押注生物識别方案。無論是過去基于指紋的Touch ID還是當下最主流的Face ID，這種不需要頻繁輸入密碼的登錄方式使得登陸iCloud等蘋果旗下的軟件更加方便，同時更加安全。

事實上，最早的Touch ID隻能用于屏幕解鎖。但之後随着iOS 8的發布、Apple Pay的面世，以及蘋果Touch Id API的開放，Apple Pay逐漸與Touch ID的結合，成為第三方支付的手段之一，同時讓Touch ID也成了保護密碼的重要手段。

到了Face ID時代，得益于深感攝像頭和3D結構光技術，認證方法則更為安全。

但和雙重認證一樣，即使已經做到了絕對安全，但Face ID同樣無法取代密碼問題。

首先用戶仍然需要使用密碼才能登錄Apple ID、iCloud等功能。其次作為重要的一點，并不是所有的第三方生态都支持Face ID登錄，如果用戶嘗試跨平台（例如安卓、Windows）或者跨設備（例如Mac系列産品），仍然需要密碼登陸。

或許這就是蘋果希望推行“無密碼技術”的原因。

開頭也提到，不單是蘋果，許多互聯網公司也在推行無密碼登陸，而這些公司背後都牽連到一家名為FIDO（Fast IDentity Online，線上快速身份驗證）的技術聯盟。也正是在今年5月8日的“世界密碼日”上，蘋果、微軟、谷歌三家科技巨頭表示，他們将“在未來一年内”開始推出基于FIDO标準的技術。

FIDO标準究竟為何物？

簡單來說，和蘋果推行無密碼的思路并無二異，即“生物認證框架”與“雙因素認證标準”，但除這兩點以外，FIDO聯盟還強調不同設備與不同App、系統生态之間的互聯。

換句話說，在FIDO聯盟的規範下，不同廠商之間的硬件設備與軟件隻需一套加密方法即可實現登錄。

FIDO将這種加密方法稱之為“私鑰-公鑰”，私鑰在設備端，而上傳到服務器裡的則為公鑰（賬号）。這個私鑰可以是指紋，也可以是面部信息，或者單純就是一個硬件設備。

總之，原先的密碼已經被私鑰取代。

我們以Passkeys為例，識别私鑰的方式便是支持Touch ID或是Face ID的設備，先是通過公鑰加密驗證登錄網站和應用程序的用戶身份，随即向手機發送認證請求驗證私鑰，兩步都完成驗證後即可完成登錄。

雖然目前Passkeys功能仍需要iCloud鑰匙串的支持，但未來完全可以用随機的密鑰取代。

微軟和谷歌的方案與蘋果也類似，他們分别推出各自的Authenticator驗證器App，當在不同的設備上登錄賬号時，用戶隻需要在App上進行批準即可通過驗證。

不過和iCloud鑰匙串一樣，目前這些Authenticator驗證器還停留在“密碼填充”的階段，App的功能隻是相當于“密碼保險箱”，隻不過降低了輸入密碼時洩露的風險。

除了解決密碼輸入的問題，FIDO聯盟更希望解決多設備和跨平台的限制。

根據FIDO白皮書的描述，未來将允許用戶通過一個現有設備作為硬件令牌，無論iOS、安卓，還是Windows，都可以進行互通：“我們希望認證器供應商在他們的認證器實現中做出這一改變。”

或許在FIDO的設想裡，為了無論iOS還是安卓，隻需一台設備都能相互解鎖。

FIDO聯盟在其官網顯示，密碼洩露是超過80%數據洩露的根本原因，更是有高達51%的密碼被重複使用。

另據美國審查平台GoodFirms在2021年的一則報告中提出，45.7%的受訪者表示他們會在多個站點或者應用程序使用重複的密碼，52.9%的受訪者與同事、朋友、家人分享他們的密碼，同時有30%的受訪者表示因為密碼薄弱而經曆過安全漏洞。

不僅用戶成了密碼洩露的受害者，廠商同時也為如何保護隐私密碼安全而犯難。

因此這些互聯網公司推行“無密碼登錄”本意是希望減少數據洩露風險，用戶也能從中受益。

但想真正告别純密碼登錄體系進入“無密碼時代”，還需要一段時間。

首先，目前幾家科技巨頭推出的方案本質上還是一種“密碼保管器”：如何找到一種安全的密鑰生成方式，這是科技巨頭們下一步的工作重點。

其次，這些方案當前僅僅支持自家生态産品，第三方App仍然需要密碼登錄，這些軟件廠商并不會願意把安全權限交給這些硬件公司。

最後，跨平台之間的壁壘是否能打破依然是個謎題。FIDO聯盟的設想很好，但蘋果與谷歌是否真的願意從系統底層做出改變呢？

值得一提的是，此前蘋果一直拒絕甚至排斥FIDO聯盟所推行的擺脫密碼的計劃，當時蘋果認為自己擁有足夠的精力來保證用戶賬戶的使用安全。但在一次又一次安全問題事件之後，蘋果終于選擇妥協，并在iOS中添加了兼容FIDO規範的安全密鑰。

或許在行業的推動下，廠商之間也能放棄壁壘，共同推進這一“隐私安全革命”。

,

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!

查看全部