蘋果期待的「無密碼時(shí)代」，真能實(shí)現(xiàn)嗎？

作者 | 來自鎂客星球的家衡

保護(hù)密碼最好的方案，就是放棄密碼。

一年前的蘋果全球開發(fā)者大會(huì)（WWDC）上，蘋果展示了一種基于“iCloud鑰匙串”的無密碼登錄技術(shù)，當(dāng)用戶使用Safari瀏覽器時(shí)，可以直接通過生物識(shí)別方式填寫保存的密碼。

在本周的WWDC上，蘋果繼續(xù)將此項(xiàng)技術(shù)完善，并將其命名為“Passkeys”（萬能密碼）：用戶無需復(fù)雜的組合密碼，甚至不需要驗(yàn)證碼，僅需一組儲(chǔ)存在設(shè)備端的數(shù)字密鑰即可完成相應(yīng)網(wǎng)站或App的登陸。

不單是蘋果，其他互聯(lián)網(wǎng)公司同樣也開始在自家設(shè)備或平臺(tái)上嘗試“無密碼登錄”，包括谷歌、微軟、雅虎等公司均提出了相應(yīng)的解決方案，目的就是取代傳統(tǒng)的“純密碼登錄”。

用業(yè)內(nèi)人士的話來說，純密碼就是“20世紀(jì)的遺產(chǎn)”，黑客可能很容易盜取密碼；而站在用戶的角度來看，絞盡腦汁想出的組合密碼經(jīng)常就會(huì)遺忘。

那么這場“無密碼”的革命，真的能開啟隱私安全的“新時(shí)代”嗎？

蘋果如何實(shí)現(xiàn)無密碼？

曾經(jīng)，蘋果也因?yàn)?ldquo;密碼泄露”焦頭爛額。

2014年9月，蘋果的iCloud遭到黑客攻擊，大約200位名人明星的私密照片在互聯(lián)網(wǎng)上傳播，引來眾多網(wǎng)友吃瓜。

其中一位黑客使用的方法十分簡單，通過廣撒網(wǎng)的釣魚郵件，該黑客輕松獲取了受害者的賬號(hào)與密碼，并且由于蘋果當(dāng)時(shí)沒有設(shè)置必要的驗(yàn)證機(jī)制，因此他可以直接通過密碼就進(jìn)入這些賬號(hào)。

這次事件讓蘋果被推到輿論的風(fēng)口浪尖，一些受害的名人甚至直接在社交平臺(tái)上說出“thanks Apple”這樣嘲諷的話。此后，蘋果開始鼓勵(lì)用戶采用雙因素認(rèn)證，該技術(shù)通過基于時(shí)間、事件和密鑰產(chǎn)生的一次性密碼來代替?zhèn)鹘y(tǒng)的靜態(tài)密碼，可以一定程度上避免未經(jīng)授權(quán)的登錄行為。

但這種“強(qiáng)加”的兩步認(rèn)證依然可以通過暴力驗(yàn)證、修改IP地址等方式進(jìn)行破解，并且復(fù)雜的操作還被用戶起訴干擾了設(shè)備的正常使用。不過在沒有更好的方案之前，雙重認(rèn)證依然是保護(hù)賬戶安全的有效方法。

既然任何輸入方式都存在被破解的風(fēng)險(xiǎn)，蘋果干脆選擇了押注生物識(shí)別方案。無論是過去基于指紋的Touch ID還是當(dāng)下最主流的Face ID，這種不需要頻繁輸入密碼的登錄方式使得登陸iCloud等蘋果旗下的軟件更加方便，同時(shí)更加安全。

事實(shí)上，最早的Touch ID只能用于屏幕解鎖。但之后隨著iOS 8的發(fā)布、Apple Pay的面世，以及蘋果Touch Id API的開放，Apple Pay逐漸與Touch ID的結(jié)合，成為第三方支付的手段之一，同時(shí)讓Touch ID也成了保護(hù)密碼的重要手段。

到了Face ID時(shí)代，得益于深感攝像頭和3D結(jié)構(gòu)光技術(shù)，認(rèn)證方法則更為安全。

但和雙重認(rèn)證一樣，即使已經(jīng)做到了絕對安全，但Face ID同樣無法取代密碼問題。

首先用戶仍然需要使用密碼才能登錄Apple ID、iCloud等功能。其次作為重要的一點(diǎn)，并不是所有的第三方生態(tài)都支持Face ID登錄，如果用戶嘗試跨平臺(tái)（例如安卓、Windows）或者跨設(shè)備（例如Mac系列產(chǎn)品），仍然需要密碼登陸。

或許這就是蘋果希望推行“無密碼技術(shù)”的原因。

FIDO聯(lián)盟的“無密碼愿望”

開頭也提到，不單是蘋果，許多互聯(lián)網(wǎng)公司也在推行無密碼登陸，而這些公司背后都牽連到一家名為FIDO（Fast IDentity Online，線上快速身份驗(yàn)證）的技術(shù)聯(lián)盟。也正是在今年5月8日的“世界密碼日”上，蘋果、微軟、谷歌三家科技巨頭表示，他們將“在未來一年內(nèi)”開始推出基于FIDO標(biāo)準(zhǔn)的技術(shù)。

FIDO標(biāo)準(zhǔn)究竟為何物？

簡單來說，和蘋果推行無密碼的思路并無二異，即“生物認(rèn)證框架”與“雙因素認(rèn)證標(biāo)準(zhǔn)”，但除這兩點(diǎn)以外，F(xiàn)IDO聯(lián)盟還強(qiáng)調(diào)不同設(shè)備與不同App、系統(tǒng)生態(tài)之間的互聯(lián)。

換句話說，在FIDO聯(lián)盟的規(guī)范下，不同廠商之間的硬件設(shè)備與軟件只需一套加密方法即可實(shí)現(xiàn)登錄。

FIDO將這種加密方法稱之為“私鑰-公鑰”，私鑰在設(shè)備端，而上傳到服務(wù)器里的則為公鑰（賬號(hào)）。這個(gè)私鑰可以是指紋，也可以是面部信息，或者單純就是一個(gè)硬件設(shè)備。

總之，原先的密碼已經(jīng)被私鑰取代。

我們以Passkeys為例，識(shí)別私鑰的方式便是支持Touch ID或是Face ID的設(shè)備，先是通過公鑰加密驗(yàn)證登錄網(wǎng)站和應(yīng)用程序的用戶身份，隨即向手機(jī)發(fā)送認(rèn)證請求驗(yàn)證私鑰，兩步都完成驗(yàn)證后即可完成登錄。

雖然目前Passkeys功能仍需要iCloud鑰匙串的支持，但未來完全可以用隨機(jī)的密鑰取代。

微軟和谷歌的方案與蘋果也類似，他們分別推出各自的Authenticator驗(yàn)證器App，當(dāng)在不同的設(shè)備上登錄賬號(hào)時(shí)，用戶只需要在App上進(jìn)行批準(zhǔn)即可通過驗(yàn)證。

不過和iCloud鑰匙串一樣，目前這些Authenticator驗(yàn)證器還停留在“密碼填充”的階段，App的功能只是相當(dāng)于“密碼保險(xiǎn)箱”，只不過降低了輸入密碼時(shí)泄露的風(fēng)險(xiǎn)。

除了解決密碼輸入的問題，F(xiàn)IDO聯(lián)盟更希望解決多設(shè)備和跨平臺(tái)的限制。

根據(jù)FIDO白皮書的描述，未來將允許用戶通過一個(gè)現(xiàn)有設(shè)備作為硬件令牌，無論iOS、安卓，還是Windows，都可以進(jìn)行互通：“我們希望認(rèn)證器供應(yīng)商在他們的認(rèn)證器實(shí)現(xiàn)中做出這一改變。”

或許在FIDO的設(shè)想里，為了無論iOS還是安卓，只需一臺(tái)設(shè)備都能相互解鎖。

“無密碼時(shí)代”真的能實(shí)現(xiàn)嗎？

FIDO聯(lián)盟在其官網(wǎng)顯示，密碼泄露是超過80%數(shù)據(jù)泄露的根本原因，更是有高達(dá)51%的密碼被重復(fù)使用。

另據(jù)美國審查平臺(tái)GoodFirms在2021年的一則報(bào)告中提出，45.7%的受訪者表示他們會(huì)在多個(gè)站點(diǎn)或者應(yīng)用程序使用重復(fù)的密碼，52.9%的受訪者與同事、朋友、家人分享他們的密碼，同時(shí)有30%的受訪者表示因?yàn)槊艽a薄弱而經(jīng)歷過安全漏洞。

不僅用戶成了密碼泄露的受害者，廠商同時(shí)也為如何保護(hù)隱私密碼安全而犯難。

因此這些互聯(lián)網(wǎng)公司推行“無密碼登錄”本意希望減少數(shù)據(jù)泄露風(fēng)險(xiǎn)，用戶也能從中受益。

但想真正告別純密碼登錄體系進(jìn)入“無密碼時(shí)代”，還需要一段時(shí)間。

首先，目前幾家科技巨頭推出的方案本質(zhì)上還是一種“密碼保管器”：如何找到一種安全的密鑰生成方式，這是科技巨頭們下一步的工作重點(diǎn)。

其次，這些方案當(dāng)前僅僅支持自家生態(tài)產(chǎn)品，第三方App仍然需要密碼登錄，這些軟件廠商并不會(huì)愿意把安全權(quán)限交給這些硬件公司。

最后，跨平臺(tái)之間的壁壘是否能打破依然是個(gè)謎題。FIDO聯(lián)盟的設(shè)想很好，但蘋果與谷歌是否真的愿意從系統(tǒng)底層做出改變呢？

值得一提的是，此前蘋果一直拒絕甚至排斥FIDO聯(lián)盟所推行的擺脫密碼的計(jì)劃，當(dāng)時(shí)蘋果認(rèn)為自己擁有足夠的精力來保證用戶賬戶的使用安全。但在一次又一次安全問題事件之后，蘋果終于選擇妥協(xié)，并在iOS中添加了兼容FIDO規(guī)范的安全密鑰。

或許在行業(yè)的推動(dòng)下，廠商之間也能放棄壁壘，共同推進(jìn)這一“隱私安全革命”。