加入星計劃,您可以享受以下權(quán)益:

  • 創(chuàng)作內(nèi)容快速變現(xiàn)
  • 行業(yè)影響力擴散
  • 作品版權(quán)保護
  • 300W+ 專業(yè)用戶
  • 1.5W+ 優(yōu)質(zhì)創(chuàng)作者
  • 5000+ 長期合作伙伴
立即加入
  • 正文
    • 蘋果如何實現(xiàn)無密碼?
    • FIDO聯(lián)盟的“無密碼愿望”
    • “無密碼時代”真的能實現(xiàn)嗎?
  • 相關(guān)推薦
  • 電子產(chǎn)業(yè)圖譜
申請入駐 產(chǎn)業(yè)圖譜

蘋果期待的「無密碼時代」,真能實現(xiàn)嗎?

2022/06/10
352
閱讀需 10 分鐘
加入交流群
掃碼加入
獲取工程師必備禮包
參與熱點資訊討論

作者 | 來自鎂客星球的家衡

保護密碼最好的方案,就是放棄密碼。

一年前的蘋果全球開發(fā)者大會(WWDC)上,蘋果展示了一種基于“iCloud鑰匙串”的無密碼登錄技術(shù),當用戶使用Safari瀏覽器時,可以直接通過生物識別方式填寫保存的密碼。

在本周的WWDC上,蘋果繼續(xù)將此項技術(shù)完善,并將其命名為“Passkeys”(萬能密碼):用戶無需復(fù)雜的組合密碼,甚至不需要驗證碼,僅需一組儲存在設(shè)備端的數(shù)字密鑰即可完成相應(yīng)網(wǎng)站或App的登陸。

不單是蘋果,其他互聯(lián)網(wǎng)公司同樣也開始在自家設(shè)備或平臺上嘗試“無密碼登錄”,包括谷歌、微軟、雅虎等公司均提出了相應(yīng)的解決方案,目的就是取代傳統(tǒng)的“純密碼登錄”。

用業(yè)內(nèi)人士的話來說,純密碼就是“20世紀的遺產(chǎn)”,黑客可能很容易盜取密碼;而站在用戶的角度來看,絞盡腦汁想出的組合密碼經(jīng)常就會遺忘。

那么這場“無密碼”的革命,真的能開啟隱私安全的“新時代”嗎?

蘋果如何實現(xiàn)無密碼?

曾經(jīng),蘋果也因為“密碼泄露”焦頭爛額。

2014年9月,蘋果的iCloud遭到黑客攻擊,大約200位名人明星的私密照片在互聯(lián)網(wǎng)上傳播,引來眾多網(wǎng)友吃瓜。

其中一位黑客使用的方法十分簡單,通過廣撒網(wǎng)的釣魚郵件,該黑客輕松獲取了受害者的賬號與密碼,并且由于蘋果當時沒有設(shè)置必要的驗證機制,因此他可以直接通過密碼就進入這些賬號。

 

這次事件讓蘋果被推到輿論的風口浪尖,一些受害的名人甚至直接在社交平臺上說出“thanks Apple”這樣嘲諷的話。此后,蘋果開始鼓勵用戶采用雙因素認證,該技術(shù)通過基于時間、事件和密鑰產(chǎn)生的一次性密碼來代替?zhèn)鹘y(tǒng)的靜態(tài)密碼,可以一定程度上避免未經(jīng)授權(quán)的登錄行為。

但這種“強加”的兩步認證依然可以通過暴力驗證、修改IP地址等方式進行破解,并且復(fù)雜的操作還被用戶起訴干擾了設(shè)備的正常使用。不過在沒有更好的方案之前,雙重認證依然是保護賬戶安全的有效方法。

既然任何輸入方式都存在被破解的風險,蘋果干脆選擇了押注生物識別方案。無論是過去基于指紋的Touch ID還是當下最主流的Face ID,這種不需要頻繁輸入密碼的登錄方式使得登陸iCloud等蘋果旗下的軟件更加方便,同時更加安全。

事實上,最早的Touch ID只能用于屏幕解鎖。但之后隨著iOS 8的發(fā)布、Apple Pay的面世,以及蘋果Touch Id API的開放,Apple Pay逐漸與Touch ID的結(jié)合,成為第三方支付的手段之一,同時讓Touch ID也成了保護密碼的重要手段。

到了Face ID時代,得益于深感攝像頭和3D結(jié)構(gòu)光技術(shù),認證方法則更為安全。

 

但和雙重認證一樣,即使已經(jīng)做到了絕對安全,但Face ID同樣無法取代密碼問題。

首先用戶仍然需要使用密碼才能登錄Apple ID、iCloud等功能。其次作為重要的一點,并不是所有的第三方生態(tài)都支持Face ID登錄,如果用戶嘗試跨平臺(例如安卓、Windows)或者跨設(shè)備(例如Mac系列產(chǎn)品),仍然需要密碼登陸。

或許這就是蘋果希望推行“無密碼技術(shù)”的原因。

FIDO聯(lián)盟的“無密碼愿望”

開頭也提到,不單是蘋果,許多互聯(lián)網(wǎng)公司也在推行無密碼登陸,而這些公司背后都牽連到一家名為FIDO(Fast IDentity Online,線上快速身份驗證)的技術(shù)聯(lián)盟。也正是在今年5月8日的“世界密碼日”上,蘋果、微軟、谷歌三家科技巨頭表示,他們將“在未來一年內(nèi)”開始推出基于FIDO標準的技術(shù)。

FIDO標準究竟為何物?

簡單來說,和蘋果推行無密碼的思路并無二異,即“生物認證框架”與“雙因素認證標準”,但除這兩點以外,F(xiàn)IDO聯(lián)盟還強調(diào)不同設(shè)備與不同App、系統(tǒng)生態(tài)之間的互聯(lián)。

換句話說,在FIDO聯(lián)盟的規(guī)范下,不同廠商之間的硬件設(shè)備與軟件只需一套加密方法即可實現(xiàn)登錄。

FIDO將這種加密方法稱之為“私鑰-公鑰”,私鑰在設(shè)備端,而上傳到服務(wù)器里的則為公鑰(賬號)。這個私鑰可以是指紋,也可以是面部信息,或者單純就是一個硬件設(shè)備。

總之,原先的密碼已經(jīng)被私鑰取代。

我們以Passkeys為例,識別私鑰的方式便是支持Touch ID或是Face ID的設(shè)備,先是通過公鑰加密驗證登錄網(wǎng)站和應(yīng)用程序的用戶身份,隨即向手機發(fā)送認證請求驗證私鑰,兩步都完成驗證后即可完成登錄。

雖然目前Passkeys功能仍需要iCloud鑰匙串的支持,但未來完全可以用隨機的密鑰取代。

微軟和谷歌的方案與蘋果也類似,他們分別推出各自的Authenticator驗證器App,當在不同的設(shè)備上登錄賬號時,用戶只需要在App上進行批準即可通過驗證。

不過和iCloud鑰匙串一樣,目前這些Authenticator驗證器還停留在“密碼填充”的階段,App的功能只是相當于“密碼保險箱”,只不過降低了輸入密碼時泄露的風險。

除了解決密碼輸入的問題,F(xiàn)IDO聯(lián)盟更希望解決多設(shè)備和跨平臺的限制。

根據(jù)FIDO白皮書的描述,未來將允許用戶通過一個現(xiàn)有設(shè)備作為硬件令牌,無論iOS、安卓,還是Windows,都可以進行互通:“我們希望認證器供應(yīng)商在他們的認證器實現(xiàn)中做出這一改變。”

或許在FIDO的設(shè)想里,為了無論iOS還是安卓,只需一臺設(shè)備都能相互解鎖。

“無密碼時代”真的能實現(xiàn)嗎?

FIDO聯(lián)盟在其官網(wǎng)顯示,密碼泄露是超過80%數(shù)據(jù)泄露的根本原因,更是有高達51%的密碼被重復(fù)使用。

另據(jù)美國審查平臺GoodFirms在2021年的一則報告中提出,45.7%的受訪者表示他們會在多個站點或者應(yīng)用程序使用重復(fù)的密碼,52.9%的受訪者與同事、朋友、家人分享他們的密碼,同時有30%的受訪者表示因為密碼薄弱而經(jīng)歷過安全漏洞。

不僅用戶成了密碼泄露的受害者,廠商同時也為如何保護隱私密碼安全而犯難。

因此這些互聯(lián)網(wǎng)公司推行“無密碼登錄”本意希望減少數(shù)據(jù)泄露風險,用戶也能從中受益。

 

但想真正告別純密碼登錄體系進入“無密碼時代”,還需要一段時間。

首先,目前幾家科技巨頭推出的方案本質(zhì)上還是一種“密碼保管器”:如何找到一種安全的密鑰生成方式,這是科技巨頭們下一步的工作重點。

其次,這些方案當前僅僅支持自家生態(tài)產(chǎn)品,第三方App仍然需要密碼登錄,這些軟件廠商并不會愿意把安全權(quán)限交給這些硬件公司。

最后,跨平臺之間的壁壘是否能打破依然是個謎題。FIDO聯(lián)盟的設(shè)想很好,但蘋果與谷歌是否真的愿意從系統(tǒng)底層做出改變呢?

值得一提的是,此前蘋果一直拒絕甚至排斥FIDO聯(lián)盟所推行的擺脫密碼的計劃,當時蘋果認為自己擁有足夠的精力來保證用戶賬戶的使用安全。但在一次又一次安全問題事件之后,蘋果終于選擇妥協(xié),并在iOS中添加了兼容FIDO規(guī)范的安全密鑰。

或許在行業(yè)的推動下,廠商之間也能放棄壁壘,共同推進這一“隱私安全革命”。

 

蘋果

蘋果

蘋果公司(Apple Inc.),是美國的一家跨國科技公司,總部位于美國加州庫比蒂諾硅谷,由史蒂夫·喬布斯和斯蒂夫·蓋瑞·沃茲尼亞克共同創(chuàng)立。公司最初從事電腦設(shè)計與銷售業(yè)務(wù),后發(fā)展為包括設(shè)計和研發(fā)電腦、手機、穿戴設(shè)備等電子產(chǎn)品,提供計算機軟件、在線服務(wù)等業(yè)務(wù) 。

蘋果公司(Apple Inc.),是美國的一家跨國科技公司,總部位于美國加州庫比蒂諾硅谷,由史蒂夫·喬布斯和斯蒂夫·蓋瑞·沃茲尼亞克共同創(chuàng)立。公司最初從事電腦設(shè)計與銷售業(yè)務(wù),后發(fā)展為包括設(shè)計和研發(fā)電腦、手機、穿戴設(shè)備等電子產(chǎn)品,提供計算機軟件、在線服務(wù)等業(yè)務(wù) 。收起

查看更多

相關(guān)推薦

電子產(chǎn)業(yè)圖譜

鎂客網(wǎng)隸屬于南京鎂一刻網(wǎng)絡(luò)科技有限公司旗下,關(guān)注人工智能、虛擬現(xiàn)實、半導(dǎo)體、新能源、新材料、航空航天等新興創(chuàng)新的硬科技領(lǐng)域,以科技媒體為核心,致力于打造硬科技領(lǐng)域的產(chǎn)業(yè)服務(wù)平臺,推動硬科技產(chǎn)業(yè)落地,助力傳統(tǒng)產(chǎn)業(yè)升級。目前已上線微信公眾號、今日頭條、搜狐號、百家號等多個內(nèi)容平臺。