2022年5月6日消息,美國當(dāng)?shù)貢r間周四,蘋果、谷歌和微軟等科技巨頭聯(lián)合宣布,將在未來一年內(nèi)在他們控制的所有移動、桌面和瀏覽器平臺上支持無密碼登錄功能。實際上,這意味著在不遠的將來,無密碼身份驗證將進入所有主要的設(shè)備平臺,包括安卓和iOS移動操作系統(tǒng);Chrome、Edge和Safari瀏覽器;以及Windows和MacOS桌面環(huán)境。
蘋果平臺產(chǎn)品營銷高級總監(jiān)庫爾特·奈特(Kurt Knight)表示:“我們在將產(chǎn)品設(shè)計得直觀而強大的同時,也把它們設(shè)計得私密而安全。與業(yè)界合作建立新的、更安全的登錄方法,提供更好的保護并消除密碼漏洞,是我們致力于打造提供最大安全性和透明用戶體驗的產(chǎn)品的核心,所有這些都以確保用戶個人信息安全為目標。”
谷歌產(chǎn)品管理高級總監(jiān)馬克·里舍爾(Mark Risher)表示:“這一里程碑證明了整個行業(yè)為加強保護和消除過時的、基于密碼的身份驗證所做的協(xié)作努力。我們期待著讓基于FIDO的技術(shù)能夠在Chrome、ChromeOS、安卓和其他平臺上使用,并鼓勵應(yīng)用程序和網(wǎng)站開發(fā)者采用它,這樣世界各地的人們就可以安全地擺脫密碼帶來的風(fēng)險和麻煩。”
微軟身份計劃管理業(yè)務(wù)副總裁亞歷克斯·西蒙斯(Alex Simons)說:“向無密碼世界的徹底轉(zhuǎn)變將從消費者讓密碼成為他們生活的自然部分開始。任何可行的解決方案都必須比今天使用的密碼和傳統(tǒng)的多因素身份驗證方法更安全、更容易、更快捷。通過支持跨平臺努力,我們最終可以實現(xiàn)這一愿景,并在消除密碼方面取得重大進展。我們看到了基于FIDO的憑據(jù)在消費者和企業(yè)場景中的光明未來,并將繼續(xù)在微軟應(yīng)用和服務(wù)中建立支持。”
只使用密碼進行身份驗證如今已經(jīng)成為網(wǎng)絡(luò)上最大的安全問題之一,管理如此多的密碼對消費者來說很麻煩,這往往導(dǎo)致消費者在不同的服務(wù)中重復(fù)使用相同的密碼。這種做法可能導(dǎo)致數(shù)據(jù)泄露,甚至身份被盜。雖然密碼管理器和傳統(tǒng)形式的兩步身份驗證增強了安全,但整個行業(yè)都在協(xié)作,以創(chuàng)建更方便、更安全的登錄技術(shù)。
谷歌在周四發(fā)布的博文中寫道,無密碼登錄過程將允許用戶選擇他們的手機作為應(yīng)用、網(wǎng)站和其他數(shù)字服務(wù)的主要身份驗證設(shè)備。用任何被設(shè)置為默認操作的解鎖(包括輸入PIN碼、繪制圖案或使用指紋解鎖)手機,可以在無需輸入密碼的情況下登錄到網(wǎng)絡(luò)服務(wù)上,這可以通過使用手機和網(wǎng)站之間共享的、被稱為密鑰的唯一加密令牌來實現(xiàn)。
這種跨平臺功能是由一種名為FIDO的標準支持的,該標準使用公鑰密碼學(xué)的原理在各種情況下實現(xiàn)無密碼身份驗證和多因素身份驗證。用戶的手機可以存儲唯一符合FIDO標準的密鑰,只有在手機解鎖時才會與網(wǎng)站共享它以進行身份驗證。根據(jù)谷歌的帖子,在手機丟失的情況下,密鑰也可以很容易地被從云端備份同步到新設(shè)備上。
來自世界各地的數(shù)百家技術(shù)公司和服務(wù)提供商在FIDO聯(lián)盟和W3C內(nèi)部合作創(chuàng)建了無密碼登錄標準,該標準已經(jīng)在數(shù)十億設(shè)備和所有現(xiàn)代網(wǎng)絡(luò)瀏覽器中得到支持。蘋果、谷歌和微軟主導(dǎo)了這一擴展功能的開發(fā),現(xiàn)在正在將這種支持構(gòu)建到各自的平臺中。不過,之前要求用戶在使用無密碼功能之前,先用每臺設(shè)備登錄到每個網(wǎng)站或應(yīng)用上,這意味著用戶仍然容易受到網(wǎng)絡(luò)釣魚攻擊,密碼在此過程中可能被攔截或竊取。
現(xiàn)在,正如谷歌負責(zé)安全身份驗證的產(chǎn)品管理總監(jiān)、FIDO聯(lián)盟主席薩姆帕斯·斯里尼瓦斯(SamPath Srinivas)所說,新技術(shù)將取消最初對密碼的要求。蘋果、谷歌以及微軟為用戶提供了新功能,以實現(xiàn)更無縫、更安全的無密碼登錄。斯里尼瓦斯表示:“今天宣布的FIDO擴展支持將使網(wǎng)站首次實現(xiàn)端到端防釣魚攻擊的無密碼體驗,這包括首次登錄網(wǎng)站和重復(fù)登錄。當(dāng)2022年和2023年整個行業(yè)都提供密鑰支持時,我們最終將擁有真正不需要密碼的互聯(lián)網(wǎng)平臺。”
通過在物理設(shè)備上進行登錄,用戶將同時受益于簡單性和安全性。如果沒有密碼,用戶就不再需要記住跨服務(wù)登錄的各種細節(jié),也不必擔(dān)心通過在多個地方重復(fù)使用相同的密碼危及安全性。同樣,無密碼系統(tǒng)將使黑客更難遠程泄露登錄細節(jié),因為登錄需要訪問物理設(shè)備。從理論上講,用戶被引導(dǎo)到虛假網(wǎng)站以獲取密碼的釣魚攻擊將更難施行。
微軟負責(zé)安全、合規(guī)、身份和隱私的副總裁瓦蘇?亞卡爾(Vasu Jakkal)強調(diào)了跨平臺的兼容性水平。他在一份通過電子郵件發(fā)送的聲明中表示:“有了移動設(shè)備上的密鑰,你就可以在幾乎任何設(shè)備上登錄應(yīng)用程序或服務(wù),無論設(shè)備運行的是什么平臺或瀏覽器。例如,用戶可以使用蘋果設(shè)備上的密鑰登錄運行在微軟Windows上的谷歌Chrome瀏覽器。”
到目前為止,蘋果、谷歌和微軟都表示,他們預(yù)計新的登錄功能將在明年跨平臺使用,但還沒有宣布更具體的路線圖。盡管取消密碼的努力已經(jīng)進行了多年,但有跡象表明,這次有望取得成功。
