作者 | 來自鎂客星球的家衡
保護密碼最好的方案,就是放棄密碼。
一年前的蘋果全球開發(fā)者大會(WWDC)上,蘋果展示了一種基于“iCloud鑰匙串”的無密碼登錄技術(shù),當用戶使用Safari瀏覽器時,可以直接通過生物識別方式填寫保存的密碼。
在本周的WWDC上,蘋果繼續(xù)將此項技術(shù)完善,并將其命名為“Passkeys”(萬能密碼):用戶無需復(fù)雜的組合密碼,甚至不需要驗證碼,僅需一組儲存在設(shè)備端的數(shù)字密鑰即可完成相應(yīng)網(wǎng)站或App的登陸。
不單是蘋果,其他互聯(lián)網(wǎng)公司同樣也開始在自家設(shè)備或平臺上嘗試“無密碼登錄”,包括谷歌、微軟、雅虎等公司均提出了相應(yīng)的解決方案,目的就是取代傳統(tǒng)的“純密碼登錄”。
用業(yè)內(nèi)人士的話來說,純密碼就是“20世紀的遺產(chǎn)”,黑客可能很容易盜取密碼;而站在用戶的角度來看,絞盡腦汁想出的組合密碼經(jīng)常就會遺忘。
那么這場“無密碼”的革命,真的能開啟隱私安全的“新時代”嗎?
蘋果如何實現(xiàn)無密碼?
曾經(jīng),蘋果也因為“密碼泄露”焦頭爛額。
2014年9月,蘋果的iCloud遭到黑客攻擊,大約200位名人明星的私密照片在互聯(lián)網(wǎng)上傳播,引來眾多網(wǎng)友吃瓜。
其中一位黑客使用的方法十分簡單,通過廣撒網(wǎng)的釣魚郵件,該黑客輕松獲取了受害者的賬號與密碼,并且由于蘋果當時沒有設(shè)置必要的驗證機制,因此他可以直接通過密碼就進入這些賬號。
這次事件讓蘋果被推到輿論的風口浪尖,一些受害的名人甚至直接在社交平臺上說出“thanks Apple”這樣嘲諷的話。此后,蘋果開始鼓勵用戶采用雙因素認證,該技術(shù)通過基于時間、事件和密鑰產(chǎn)生的一次性密碼來代替?zhèn)鹘y(tǒng)的靜態(tài)密碼,可以一定程度上避免未經(jīng)授權(quán)的登錄行為。
但這種“強加”的兩步認證依然可以通過暴力驗證、修改IP地址等方式進行破解,并且復(fù)雜的操作還被用戶起訴干擾了設(shè)備的正常使用。不過在沒有更好的方案之前,雙重認證依然是保護賬戶安全的有效方法。
既然任何輸入方式都存在被破解的風險,蘋果干脆選擇了押注生物識別方案。無論是過去基于指紋的Touch ID還是當下最主流的Face ID,這種不需要頻繁輸入密碼的登錄方式使得登陸iCloud等蘋果旗下的軟件更加方便,同時更加安全。
事實上,最早的Touch ID只能用于屏幕解鎖。但之后隨著iOS 8的發(fā)布、Apple Pay的面世,以及蘋果Touch Id API的開放,Apple Pay逐漸與Touch ID的結(jié)合,成為第三方支付的手段之一,同時讓Touch ID也成了保護密碼的重要手段。
到了Face ID時代,得益于深感攝像頭和3D結(jié)構(gòu)光技術(shù),認證方法則更為安全。
但和雙重認證一樣,即使已經(jīng)做到了絕對安全,但Face ID同樣無法取代密碼問題。
首先用戶仍然需要使用密碼才能登錄Apple ID、iCloud等功能。其次作為重要的一點,并不是所有的第三方生態(tài)都支持Face ID登錄,如果用戶嘗試跨平臺(例如安卓、Windows)或者跨設(shè)備(例如Mac系列產(chǎn)品),仍然需要密碼登陸。
或許這就是蘋果希望推行“無密碼技術(shù)”的原因。
FIDO聯(lián)盟的“無密碼愿望”
開頭也提到,不單是蘋果,許多互聯(lián)網(wǎng)公司也在推行無密碼登陸,而這些公司背后都牽連到一家名為FIDO(Fast IDentity Online,線上快速身份驗證)的技術(shù)聯(lián)盟。也正是在今年5月8日的“世界密碼日”上,蘋果、微軟、谷歌三家科技巨頭表示,他們將“在未來一年內(nèi)”開始推出基于FIDO標準的技術(shù)。
FIDO標準究竟為何物?
簡單來說,和蘋果推行無密碼的思路并無二異,即“生物認證框架”與“雙因素認證標準”,但除這兩點以外,F(xiàn)IDO聯(lián)盟還強調(diào)不同設(shè)備與不同App、系統(tǒng)生態(tài)之間的互聯(lián)。
換句話說,在FIDO聯(lián)盟的規(guī)范下,不同廠商之間的硬件設(shè)備與軟件只需一套加密方法即可實現(xiàn)登錄。
FIDO將這種加密方法稱之為“私鑰-公鑰”,私鑰在設(shè)備端,而上傳到服務(wù)器里的則為公鑰(賬號)。這個私鑰可以是指紋,也可以是面部信息,或者單純就是一個硬件設(shè)備。
總之,原先的密碼已經(jīng)被私鑰取代。
我們以Passkeys為例,識別私鑰的方式便是支持Touch ID或是Face ID的設(shè)備,先是通過公鑰加密驗證登錄網(wǎng)站和應(yīng)用程序的用戶身份,隨即向手機發(fā)送認證請求驗證私鑰,兩步都完成驗證后即可完成登錄。
雖然目前Passkeys功能仍需要iCloud鑰匙串的支持,但未來完全可以用隨機的密鑰取代。
微軟和谷歌的方案與蘋果也類似,他們分別推出各自的Authenticator驗證器App,當在不同的設(shè)備上登錄賬號時,用戶只需要在App上進行批準即可通過驗證。
不過和iCloud鑰匙串一樣,目前這些Authenticator驗證器還停留在“密碼填充”的階段,App的功能只是相當于“密碼保險箱”,只不過降低了輸入密碼時泄露的風險。
除了解決密碼輸入的問題,F(xiàn)IDO聯(lián)盟更希望解決多設(shè)備和跨平臺的限制。
根據(jù)FIDO白皮書的描述,未來將允許用戶通過一個現(xiàn)有設(shè)備作為硬件令牌,無論iOS、安卓,還是Windows,都可以進行互通:“我們希望認證器供應(yīng)商在他們的認證器實現(xiàn)中做出這一改變。”
或許在FIDO的設(shè)想里,為了無論iOS還是安卓,只需一臺設(shè)備都能相互解鎖。
“無密碼時代”真的能實現(xiàn)嗎?
FIDO聯(lián)盟在其官網(wǎng)顯示,密碼泄露是超過80%數(shù)據(jù)泄露的根本原因,更是有高達51%的密碼被重復(fù)使用。
另據(jù)美國審查平臺GoodFirms在2021年的一則報告中提出,45.7%的受訪者表示他們會在多個站點或者應(yīng)用程序使用重復(fù)的密碼,52.9%的受訪者與同事、朋友、家人分享他們的密碼,同時有30%的受訪者表示因為密碼薄弱而經(jīng)歷過安全漏洞。
不僅用戶成了密碼泄露的受害者,廠商同時也為如何保護隱私密碼安全而犯難。
因此這些互聯(lián)網(wǎng)公司推行“無密碼登錄”本意希望減少數(shù)據(jù)泄露風險,用戶也能從中受益。
但想真正告別純密碼登錄體系進入“無密碼時代”,還需要一段時間。
首先,目前幾家科技巨頭推出的方案本質(zhì)上還是一種“密碼保管器”:如何找到一種安全的密鑰生成方式,這是科技巨頭們下一步的工作重點。
其次,這些方案當前僅僅支持自家生態(tài)產(chǎn)品,第三方App仍然需要密碼登錄,這些軟件廠商并不會愿意把安全權(quán)限交給這些硬件公司。
最后,跨平臺之間的壁壘是否能打破依然是個謎題。FIDO聯(lián)盟的設(shè)想很好,但蘋果與谷歌是否真的愿意從系統(tǒng)底層做出改變呢?
值得一提的是,此前蘋果一直拒絕甚至排斥FIDO聯(lián)盟所推行的擺脫密碼的計劃,當時蘋果認為自己擁有足夠的精力來保證用戶賬戶的使用安全。但在一次又一次安全問題事件之后,蘋果終于選擇妥協(xié),并在iOS中添加了兼容FIDO規(guī)范的安全密鑰。
或許在行業(yè)的推動下,廠商之間也能放棄壁壘,共同推進這一“隱私安全革命”。