密码  · 谷歌  · 微软

苹果、谷歌、微软联手“消灭”密码

近年来数据泄露事件的增加又不得不让人怀疑密码的可靠性。

 |  美通社

文|美通社

全球科技三巨头罕见地团结起来,要一起干件大事!

在今年的世界密码日(5月5日),苹果、谷歌和微软这三大科技巨头在一项联合计划中宣布,他们将致力于在未来一年,在其控制的所有移动、桌面和浏览器平台上打造无密码登录系统。

要知道,苹果和谷歌分别掌握着移动端系统iOS和Android,而微软的Windows系统也是电脑操作系统领域的霸主。如果这三家企业准备统一“杀死”密码,那将对电子设备用户的日常使用产生巨大影响。

密码是按特定法则编成,用以对通信双方的信息进行明密变换的符号。换言之,密码是隐蔽了真实内容的符号序列,只有通过特定的变换手段才可读懂。

密码是一门科学,有着悠久的历史,最早可以追溯到古罗马时代,尤利乌斯﹒恺撒通过加密信传递战报。此后在近代战争中,传递情报也离不开密码。而我们所熟知的“计算机之父”阿兰﹒图灵就是英国二战期间的密码破译员。密码本身的神秘性和复杂性也催生出很多耐人寻味的事件。比如,美国“黄道十二宫杀手”留下的密码就已成为世界五大顶级密码之一,吸引众多密码学专家去破解。

在现代化社会,密码更是渗透到每个人的日常生活中。使用手机需要输入密码、登陆任何APP需要密码、购物缴费时需要支付密码……密码本应该是保护用户个人信息安全的保护墙,但随着密码设置数量的增多,搞混密码、忘记密码的事情也越来越常见。要知道常年霸占密码榜单首位的一直是“123456”,可见密码增多对人们记忆力的挑战有多大。

而从企业角度来讲,近年来数据泄露事件的增加又不得不让人怀疑密码的可靠性。

IBM《2022年数据泄露成本报告》

传统的密码登录被认为是互联网最大的安全问题之一。微软的一项研究显示,几乎80%的网络攻击都针对密码,每天有250个企业账户会遭到黑客攻击。IBM的《2022年数据泄露成本报告》发现,在全球550家来自不同行业和地域的组织中,83%的受访组织已经不是第一次发生数据泄露事件。以医疗健康行业为例,该行业的数据泄露成本在过去两年激增了42%,从2020年的713万美元增长到2022年的1010万美元。

苹果、谷歌等也都吃过数据泄露的“亏”。2014年9月,苹果的iCloud遭到黑客攻击,导致密码泄露,大约200位名人明星的私密照片在互联网上传播。2020年6月,网络安全组织Awake Security公开报告指出,谷歌公司旗下的浏览器Chrome存在严重漏洞,使上千万用户的个人资料遭黑客窃取。

总之,生活在互联网时代的人们“苦密码久矣”。

那么是否有一种方式可以不用密码却能保护信息不被泄露呢?

其实,很多科技公司都认识到仅依赖密码认证存在漏洞,并开始探索解决方案。比如,短信验证登录,指纹、面部等生物信息识别,这些验证方式的安全性远高于密码登录认证。

这里就要提到FIDO联盟,即Fast Identity Online,快速在线身份识别联盟。该联盟成立于 2012 年 7 月,旨在通过“一组开放、可扩展、可互操作的机制和更强大、更私密的身份验证标准,来减少对密码的依赖”。FIDO的标准草案介绍了FIDO认证协议的工作原理。用户可以使用智能手机指纹采集器、USB令牌等多种方式登录,服务商无需再维护复杂且成本高昂的认证后台。

在2015年FIDO联盟的成员就包括英特尔、微软、谷歌、黑莓、ARM、 万事达、美国运通、三星电子、中国金融认证中心、阿里巴巴、联想等企业。我们熟悉的支付宝、京东钱包、翼支付,国外使用的PayPal、NTT等都使用了FIDO联盟的相关技术。例如,扫一扫登录、指纹识别、人脸验证、U盾、NFC芯片、语音识别等都是在FIDO的协议标准里面。而苹果是在2022年加入FIDO的。

2018年4月,FIDO和万维网联盟(W3C)在基于Web的“强身份认证”(Stronger Authentication)上取得重要突破。由FIDO提交的文档Web Authentication(WebAuthn)正式进入W3C候选推荐标准阶段。WebAuthn提供了一个安全的无密码认证标准,通过WebAuthn,Web应用开发者可以轻松调用FIDO基于生物特征、安全、快速的在线身份认证服务。WebAuthn支持的生物验证方式包括:笔记本电脑的指纹识别和面部识别、安卓设备的指纹识别。同时这种身份验证比单纯依赖密码和相关身份验证方式要强大得多。用户证书和生物识别模板永远不会离开用户的设备,也不会存储在服务器上;帐户可以免受网络钓鱼,中间人攻击和使用被盗密码的反复攻击。谷歌、微软以及Mozilla都已承诺在其浏览器中支持WebAuthn标准。

2019年,谷歌宣布用户能用安卓手机通过蓝牙在其他设备上进行两步身份验证。

2021年微软宣布开启无密码时代,用户若采用 Microsoft Authenticator、Windows Hello 等方式,就可以完全删除自己微软账户中的密码。

苹果在WWDC 2021 上也宣布了新技术Passkeys,当用户访问支持这项新技术的网站时,用户将在注册时输入想要的用户名,然后使用Face ID或Touch ID(而不是密码)来验证自己。今年,苹果继续将此项技术完善,用户无需复杂的组合密码,甚至不需要验证码,仅需一组储存在设备端的数字密钥即可完成相应网站或App的登陆。

在最新公布的计划中,FIDO又推出两项新功能:允许用户在多台设备、包括新设备上自动访问 FIDO 登录证书(密钥),不必重新注册每个帐户;允许用户在移动设备上使用FIDO认证,以通过附近的设备登录App或网站,无论这些设备运行哪种OS平台或浏览器。FIDO联盟希望加强不同设备与不同App、系统生态之间的互联。苹果、谷歌和微软平台预计,这些新功能将在未来一年内陆续实行。

虽然目前对于“无密码”时代的到来还难以定下时间线,但随着三大科技巨头的行动,可以预见传统的密码认证正在和我们越走越远。

而另一方面,当未来系统设备无密码成为主流,想要追上这股“潮流”,符合全球认可的“无密码标准”就成为第一道门槛。都说商场如战场,在全球商业战场上,企业间的竞争往往是“标准”的竞争。阿里巴巴、联想、支付宝等虽然已经加入FIDO联盟,但在技术层面主导方仍是美国的科技巨头。我们也希望看到更多属于中国企业的联盟,去制定更多全球认可的标准。