蘋果、谷歌、微軟宣布將聯(lián)合推廣無密碼登錄技術(shù)

新浪科技訊 北京時(shí)間5月6日下午消息，據(jù)報(bào)道，5月5日是世界密碼日，但我們與密碼卻漸行漸遠(yuǎn)。蘋果、谷歌和微軟這三大科技巨頭在一項(xiàng)聯(lián)合計(jì)劃中宣布，他們將致力于在未來一年，在其控制的所有移動(dòng)、桌面和瀏覽器平臺(tái)上打造無密碼登錄系統(tǒng)。

這意味著在不遠(yuǎn)的將來，所有的主流設(shè)備平臺(tái)都將使用無密碼驗(yàn)證方式，包括Android和iOS移動(dòng)操作系統(tǒng)；Chrome、Edge和Safari瀏覽器；Windows和macOS桌面系統(tǒng)。

“我們?cè)诎旬a(chǎn)品設(shè)計(jì)的更加簡(jiǎn)單易用、功能完善的同時(shí)，也在提高它們的私密性和安全性?！碧O果平臺(tái)產(chǎn)品營銷高級(jí)總監(jiān)科特·奈特（Kurt Knight）說，“與整個(gè)行業(yè)共同打造更加安全的新登錄方式，為用戶提供更好的保護(hù)，并消除密碼的弱點(diǎn)，這是我們提供最安全透明用戶體驗(yàn)的核心。這一切的目標(biāo)都是保障用戶個(gè)人信息的安全?！?/p>

谷歌周四在官方博客中解釋道，無密碼登錄可以讓用戶將手機(jī)作為主要驗(yàn)證設(shè)備，從而使用應(yīng)用、網(wǎng)站和其他數(shù)字服務(wù)。無論用什么方式解鎖手機(jī)（包括PIN碼、繪制圖形和指紋），都將成為默認(rèn)動(dòng)作，可以在今后用于登錄網(wǎng)絡(luò)服務(wù)，而無需輸入密碼。這樣就能使用手機(jī)與電腦間共享的“秘鑰”（passkey）來實(shí)現(xiàn)解鎖。

這種將登錄信息與物理設(shè)備綁定的方式可以同時(shí)提高易用性和安全性。取消密碼后，用戶無需記憶復(fù)雜登錄信息，也不會(huì)因?yàn)樵诙囗?xiàng)服務(wù)之間設(shè)置相同密碼而降低安全性。而且，由于登錄過程需要物理設(shè)備的協(xié)助，所以無密碼系統(tǒng)也比傳統(tǒng)的密碼更加難以遠(yuǎn)程破解。從來理論上講，將用戶騙至虛假網(wǎng)站騙取密碼的釣魚攻擊將更加難以實(shí)現(xiàn)。

微軟安全、合規(guī)、身份和隱私副總裁瓦蘇·賈卡爾（Vasu Jakkal）強(qiáng)調(diào)了不同平臺(tái)之間的兼容程度?！爸灰獙⒚罔€存儲(chǔ)在移動(dòng)設(shè)備上，無論設(shè)備使用的平臺(tái)和瀏覽器是什么，都可以在幾乎任何設(shè)備上登錄一款應(yīng)用或服務(wù)?！彼陔娮余]件聲明中說，“例如，用戶可以使用蘋果設(shè)備上的秘鑰，在運(yùn)行微軟Windows的設(shè)備上登錄谷歌Chrome瀏覽器?！?/p>

這種跨平臺(tái)功能都得益于一套名為FIDO的標(biāo)準(zhǔn)，它使用公鑰加密原則支持許多環(huán)境下的無密碼驗(yàn)證和多因素驗(yàn)證。一個(gè)用戶的手機(jī)可以存儲(chǔ)一個(gè)獨(dú)一無二的FIDO兼容秘鑰，并且只有在手機(jī)解鎖的情況下才能用于驗(yàn)證網(wǎng)站登錄信息。根據(jù)谷歌的博客，秘鑰也可以通過云端備份輕松同步到新的設(shè)備，以防手機(jī)丟失。

盡管許多熱門應(yīng)用已經(jīng)支持FIDO驗(yàn)證，但還是需要首先輸入密碼才能配置FIDO，所以用戶依然容易受到釣魚攻擊。

但谷歌安全認(rèn)證產(chǎn)品管理總監(jiān)兼FIDO聯(lián)盟主席桑帕斯·斯里尼瓦斯（Sampath Srinivas）表示，這種新的機(jī)制已經(jīng)不再需要首先輸入密碼。

“今天宣布的這個(gè)經(jīng)過擴(kuò)展的FIDO支持技術(shù)，使網(wǎng)站首次可以部署端到端無密碼體驗(yàn)，具備抵抗釣魚攻擊的安全功能?！彼f，“這既包括首次登錄，也包括重復(fù)登錄。當(dāng)整個(gè)行業(yè)在2022和2023年全面支持秘鑰后，我們最終就可以擁有完全沒有密碼的互聯(lián)網(wǎng)平臺(tái)?！?/p>

目前為止，蘋果、谷歌和微軟都表示，新的登錄功能預(yù)計(jì)將于明年部署到他們旗下的平臺(tái)，但具體的路線圖尚未宣布。盡管取消密碼一事已經(jīng)謀劃多年，但這一次可能真的要夢(mèng)想成真了。