蘋果將推動無密碼登錄進(jìn)程
蘋果將推動無密碼登錄進(jìn)程,多年來��,很多公司都承諾將提供更安全���、無密碼登錄方案�����,而2022年可能是讓人們遠(yuǎn)離密碼的開始��。蘋果宣布將首次實現(xiàn)真正的無密碼登錄�����,蘋果將推動無密碼登錄進(jìn)程��。
蘋果����、谷歌��、微軟都有一個大計劃�����,它們想淘汰密碼����。三大科技公司都與 FIDO Alliance 合作,該組織正在開發(fā)新密匙系統(tǒng)����,讓用戶自動登錄線上賬戶,系統(tǒng)用到了基于設(shè)備的面部識別和指紋識別技術(shù)�����。你可以將新系統(tǒng)想象成密碼管理器��,但是沒有實際密碼。
之所以要淘汰密碼��,其中一個原因是密碼不安全�����。但淘汰密碼的后果同樣有些嚴(yán)重��,因為你要將數(shù)字密匙交給蘋果��、微軟�����、谷歌��,這些科技巨頭可以把你進(jìn)一步捆綁到自己的生態(tài)系統(tǒng)之中��。FIDO Alliance 還沒有找到很好的辦法來解決捆綁問題�����。
FIDO 想推廣 " 多設(shè)備 FIDO 證書 "���,大型科技公司管它叫密匙����。簡單來說是這樣的:當(dāng)你用面部或者指紋解鎖設(shè)備時,系統(tǒng)可以證明你是誰���,然后就可以直接進(jìn)入 App 或者網(wǎng)站了。
舉個例子�,你想在某個社交網(wǎng)站創(chuàng)建賬戶,你不必設(shè)置密碼��,手機(jī)會生成隱藏密匙����,安全存放在設(shè)備內(nèi)。社交網(wǎng)站不會存儲你的密匙�����,它從手機(jī)中獲取認(rèn)證信息����,驗證你的身份,讓你進(jìn)入��。
這種技術(shù)有兩個好處��,首先,你不必為每一個 App 記住新密碼����,也不需要學(xué)習(xí)如何使用密碼管理器;其次�,用戶不必?fù)?dān)心丟失密碼。
FIDO Alliance 高管 Andrew Shikiar 說:" 我們希望用戶從服務(wù)器獲取密碼�����。"
密匙不必與手機(jī)捆綁����,蘋果、谷歌可以通過云服務(wù)同步密匙�,你在一臺設(shè)備上創(chuàng)建賬戶,在另一臺設(shè)備也可以快速登錄���。
聽起來 FIDO 技術(shù)和密碼管理器沒什么區(qū)別��,蘋果谷歌都有類似軟件��,不同的是 FIDO 流程中沒有實際密碼��。
Andrew Shikiar 說他們提供和密碼管理器�����、瀏覽器存儲密碼一樣的體驗���,但是使用的不是現(xiàn)有密碼���,而是密匙�����。
如果想在不同生態(tài)系統(tǒng)之間批量轉(zhuǎn)移密匙怎么辦�?Shikiar 說:" 現(xiàn)在還沒有真正的批量轉(zhuǎn)移方法,未來可能會有��。"
現(xiàn)在的密碼轉(zhuǎn)移還是簡單的����,瀏覽器可以做到,密碼管理器也可以����。FIDO 的確有一套應(yīng)對方案,它允許用戶一個一個復(fù)制密匙,但如果用戶想更換生態(tài)系統(tǒng)�����,這樣的方案肯定不安全��。
谷歌高管 Sam Srinivas 說��,捆綁不是各企業(yè)的目標(biāo)�,大家對互操作很感興趣。Sam Srinivas 強(qiáng)調(diào):" 從長遠(yuǎn)來說捆綁會壓制世界的變化�����,各平臺不希望出現(xiàn)這樣的局面�����,捆綁并非各平臺本意�,大家的本意是想讓互聯(lián)網(wǎng)更安全。" 說是這樣說�,你信嗎?
如果所有密匙可以輕松轉(zhuǎn)移���,是不是會給黑客留下可乘之機(jī)����?這是一個大問題,現(xiàn)在還不知道如何解決���。
要想防止大平臺捆綁用戶�,有一個辦法也許可行:讓第三方密碼管理器管理密鑰�����。如此一來���,用戶不必依賴蘋果谷歌微軟就可以在平臺之間輕松切換。
即使如此���,密碼管理器也需要大型科技公司支持����,因為密碼管理器要與大公司各自的操作系統(tǒng)整合?��,F(xiàn)在的密碼管理器可以自動填充密碼�,但操作時并沒有那么流暢����。
Bitwarden 和 1Password 是國外比較有名的密碼管理器��,它們已經(jīng)加入 FIDO Alliance�。
蘋果谷歌微軟希望未來幾年全面擁抱無密碼登錄技術(shù)����,如果想讓各 App 和網(wǎng)站接受可能還要多等幾年。
蘋果工程師 Garrett Davidson 說:" 只需要點擊一下就能進(jìn)入�,相比今天常見的身份驗證技術(shù),它更容易更安全更快�����。"
據(jù)悉����,明年蘋果、谷歌�����、微軟就會在自己的平臺推廣 FIDO Alliance 無密碼標(biāo)準(zhǔn)�,對此你怎么看?
在美國當(dāng)?shù)貢r間周二舉行的全球開發(fā)者大會(WWDC)上�����,蘋果宣布將首次實現(xiàn)真正的無密碼登錄,那么它是如何做到的�?該公司解釋稱,將在iOS 16和MacOS Ventura應(yīng)用和網(wǎng)站中使用Passkey�����,并使用Touch ID或Face ID進(jìn)行身份驗證���。
多年來�,很多公司都承諾將提供更安全��、無密碼登錄方案����,而2022年可能是讓人們遠(yuǎn)離密碼的開始���。在今年的全球開發(fā)者大會上�,蘋果宣布將于今年9月份開始在Mac����、iPhone�、iPad和Apple TV上推出無密碼登錄�����。在iOS 16和MacOS Ventura上����,人們將不再使用密碼,而是使用Passkey登錄網(wǎng)站和應(yīng)用�。這是現(xiàn)實世界中為消除密碼而進(jìn)行的第一次重大轉(zhuǎn)變。
那么���,蘋果是如何做到的呢���?該公司互聯(lián)網(wǎng)技術(shù)副總裁達(dá)里恩·阿德勒(Darin Adler)在WWDC上解釋說,Passkey通過使用Touch ID或Face ID創(chuàng)建新的數(shù)字密鑰來取代密碼�����。當(dāng)用戶在網(wǎng)站上創(chuàng)建在線帳戶時�,他們就可以使用Passkey而不是密碼。阿德勒說:“要創(chuàng)建Passkey����,只需使用Touch ID或Face ID進(jìn)行身份驗證即可����?�!?/p>
當(dāng)用戶再次登錄該網(wǎng)站時�,Passkey允許其通過使用生物識別信息進(jìn)行驗證,而不必輸入密碼(或者讓密碼管理器生成新密碼)�。在Mac上登錄網(wǎng)站時,iPhone或iPad上會出現(xiàn)提示��,要求驗證身份�。蘋果表示,Passkey將使用iCloud的Keychain在設(shè)備上同步�����,而且Passkey存儲在用戶的設(shè)備上���,而不是服務(wù)器上��。
在幕后�,蘋果Passkey是基于Web Authentication API(WebAuthn)開發(fā)的�����,并且支持端到端加密�����,所以沒有人可以讀取它們��,包括蘋果本身�����。創(chuàng)建Passkey的系統(tǒng)使用公鑰-私鑰身份系統(tǒng)來證明用戶的身份����。
對于大多數(shù)人來說,無密碼系統(tǒng)將是網(wǎng)絡(luò)安全領(lǐng)域的重大進(jìn)步��。除了消除可能被破解的密碼外����,不再使用密碼還可以幫助降低遭到網(wǎng)絡(luò)釣魚攻擊的危險。而且�,如果密碼本來就不存在,在數(shù)據(jù)泄露事件中就不會被竊取��。目前�,雖然部分應(yīng)用程序和網(wǎng)站已經(jīng)允許人們使用指紋或面部識別登錄���,但這通常需要他們首先創(chuàng)建帶有密碼的賬戶。
蘋果的Passkey并不是全新的發(fā)明�����,該公司在2021年的WWDC上首次詳細(xì)介紹了它們��,并在不久后開始測試�����。而且�����,蘋果也不是唯一一家想要消除密碼的公司�����。近十年來����,科技行業(yè)組織The FIDO Alliance也始終在致力于制定消除密碼所需的基本標(biāo)準(zhǔn),而Passkey正是蘋果支持這些標(biāo)準(zhǔn)的舉措。
近幾個月來��,F(xiàn)IDO采取了一系列重要措施����,以加速消除密碼�����。今年3月�,該組織已經(jīng)找到一種方法來存儲讓不同設(shè)備之間同步登錄的加密密鑰,稱之為“多設(shè)備FIDO證書”或“passkey”�。
緊隨其后的是,蘋果���、微軟和谷歌都宣布支持FIDO標(biāo)準(zhǔn)����。美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局局長珍·伊斯特利(Jen Easterly)表示�,采用這些標(biāo)準(zhǔn)將確保更多人的網(wǎng)絡(luò)安全。當(dāng)時�,這三家科技巨頭稱,他們將開始“在未來一年”推出這項技術(shù)���。自去年9月以來���,微軟的用戶賬戶已經(jīng)可以放棄密碼�����,而谷歌自2008年以來也始終在研究無密碼登錄技術(shù)���。
當(dāng)所有科技公司都推出了自己版本的passkey后,該系統(tǒng)應(yīng)該可以在不同的設(shè)備上運行�����。理論上��,用戶可以用iPhone登錄運行Windows的筆記本電腦�����,或者用安卓平板電腦在微軟Edge瀏覽器中登錄網(wǎng)站��。FIDO執(zhí)行董事安德魯·?����;鶃啝枺ˋndrew Shikiar)說:“FIDO的所有規(guī)格都是合作開發(fā)的,有數(shù)百家公司參與�。”
?���;鶃啝栆呀?jīng)證實����,蘋果是第一家開始推出passkey技術(shù)的公司,并稱“這種方法很快就會對全球消費者產(chǎn)生實際影響”��。要想實現(xiàn)無密碼登錄�,取決于passkey技術(shù)在現(xiàn)實中的表現(xiàn)。目前����,如果你想拋棄蘋果的生態(tài)系統(tǒng),轉(zhuǎn)而使用安卓或其他平臺�����,Passkey會發(fā)生什么�����,這仍是個懸而未決的問題。開發(fā)者仍然需要對他們的應(yīng)用和網(wǎng)站進(jìn)行更改�����,才能使用Passkey�����。
此外����,無密碼技術(shù)要想獲得人們的信任,首先要讓人們了解它的運作方式����。微軟身份管理項目負(fù)責(zé)人亞歷克斯·西蒙斯(Alex Simons)表示:“任何可行的解決方案都必須比目前使用的密碼和傳統(tǒng)多重身份驗證方法更安全、更容易���、更快捷���。”簡而言之:如果跨設(shè)備登錄系統(tǒng)難以使用���,人們可能會避開它們��,轉(zhuǎn)而繼續(xù)使用危險卻方便的密碼���。
蘋果2022年全球開發(fā)者大會(WWDC)線上舉行�,帶來了iOS16�、iPad OS16、watchOS 9����、MacOS Ventura一系列更新���。會上��,蘋果演示了不使用密碼的生物識別身份驗證系統(tǒng)Passkeys����,并認(rèn)為該功能“旨在完全替代密碼成為下一代登錄憑證�����?�!?/p>
近年來��,因密碼被盜而導(dǎo)致的數(shù)據(jù)泄露事件頻發(fā)。蘋果一直在與包括谷歌和微軟在內(nèi)的FIDO(Fast IDentity Online���,線上快速身份驗證)行業(yè)聯(lián)盟合作���,確保無密碼登錄能夠跨平臺無縫銜接工作,打造無密碼未來��。
"passkeys"功能或結(jié)束記憶密碼歷史
蘋果本次發(fā)布Passkeys主要為應(yīng)對純密碼登錄所帶來的數(shù)據(jù)泄露風(fēng)險��。
美國審查平臺GoodFirms在2021年一則報告中提出��, 的`受訪者重復(fù)使用多個站點/應(yīng)用程序的密碼��,的受訪者與同事�����、朋友�、家人分享他們的密碼,而30%的受訪者因密碼薄弱而經(jīng)歷過安全漏洞����。
科技電信公司Verizon 2022年度數(shù)據(jù)泄露報告提出,黑客可以通過許多不同的方式獲取用戶的名字和密碼����,通過自動化排列個人信息的方式來推斷用戶的個人密碼���。黑客還可以通過另一個被黑的網(wǎng)站上,亦或是通過設(shè)置釣魚網(wǎng)站鏈接來獲取用戶的密碼���。
FIDO聯(lián)盟官網(wǎng)數(shù)據(jù)顯示����,密碼泄露是超過80%的數(shù)據(jù)泄露的根本原因�,高達(dá)51%的密碼被重復(fù)使用,單次密碼重置所需要的平均人工成本高達(dá)70美元���。
為解決純密碼登錄所帶來的數(shù)據(jù)泄露風(fēng)險,蘋果與多家科技企業(yè)合作��,并與FIDO進(jìn)行溝通交流����,設(shè)立新的身份驗證標(biāo)準(zhǔn)。FIDO聯(lián)盟提出將純密碼身份驗證的登錄方式替換為跨網(wǎng)站和應(yīng)用程序的安全快速登錄模式���。Passkeys就是這種“安全快速登錄模式”下的一項應(yīng)用��。
蘋果在大會中指出�����,Passkeys通過使用強(qiáng)大的加密技術(shù)和設(shè)備內(nèi)置的生物識別技術(shù)來確認(rèn)身份����。用戶只需要透過TouchID和FaceID進(jìn)行身份驗證來創(chuàng)建唯一的數(shù)字Passkeys。該Passkeys僅適用于創(chuàng)建它的站點���,并存放在本地設(shè)備中�����,永遠(yuǎn)不會通過開放的網(wǎng)絡(luò)進(jìn)行傳輸�����。
蘋果方面表示����,“由于Passkeys永遠(yuǎn)不會離開用戶的設(shè)備��,黑客無法誘騙用戶在虛假網(wǎng)站上共享�。網(wǎng)站上沒有任何秘密��,因此密碼無法泄露��?�!?/p>
無密碼登錄成為趨勢
無密碼登錄正在成為商業(yè)趨勢��。6月6日����,密碼管理提供商LastPass宣布加入FIDO無密碼運動�。隨后該公司將在其旗艦產(chǎn)品上新增無密碼登錄功能。而就在幾天前��,另一個密碼管理軟件1Password也宣布加入FIDO 聯(lián)盟����,使用戶能夠在沒有密碼的情況下登錄自己的帳戶��。
今年5月5日�,蘋果、谷歌和微軟就宣布支持由 FIDO 聯(lián)盟和萬維網(wǎng)聯(lián)盟創(chuàng)建的通用“Passkeys”標(biāo)準(zhǔn)����,該標(biāo)準(zhǔn)將使用戶能通過指紋或面部識別技術(shù)訪問網(wǎng)站和應(yīng)用程序�?����!癙asskeys”旨在合作消除現(xiàn)有的數(shù)十種繁瑣且有風(fēng)險的純密碼登錄體系����。
谷歌方面表示,谷歌一直在與FIDO聯(lián)盟合作��,以消除過時的�����、基于密碼的身份驗證����。該公司將在 Chrome、ChromeOS�����、Android 和其他平臺上提供基于 FIDO聯(lián)盟的技術(shù)支持�����,并將鼓勵應(yīng)用程序和網(wǎng)站開發(fā)人員應(yīng)用這項技術(shù)。
微軟身份項目管理公司的相關(guān)負(fù)責(zé)人則強(qiáng)調(diào)了“Passkeys”的必要性:“任何可行的解決方案都必須比當(dāng)今使用的密碼和傳統(tǒng)的多因素身份驗證方法更安全�、更容易和更快?���!?/p>
FIDO面對純密碼登錄提出了相應(yīng)的解決方案。未來����,雅虎、eBay等越來越多的互聯(lián)網(wǎng)企業(yè)都計劃將參與到無密碼登錄計劃當(dāng)中����。
除推行無密碼登錄外,為防范數(shù)據(jù)泄露風(fēng)險�,英國2022年網(wǎng)絡(luò)安全漏洞調(diào)查顯示,在英國��,75%的企業(yè)和57%的慈善機(jī)構(gòu)通過確保用戶設(shè)置強(qiáng)密碼策略��,來防范用戶密碼泄露所帶來的損失���。
