科技云报道原创。
人们每天都在各种设备中输入密码,但绝大多数人其实并没有养成良好的密码使用习惯。
在知名密码管理服务公司NordPass每年公布的“全球200个最常用密码榜单”里,其中“123456”的榜首地位常年未能被撼动。尽管许多人习惯于使用“123456”是因为这个密码确实简单好记,但同时这也带来了不小的安全风险。
既然如此,为什么不将密码这一古老的事物淘汰呢?
5月5日,也就是在今年的“世界密码日”上,苹果、谷歌与微软联合宣布,计划扩展对FIDO(Fast IDentity Online线上快速身份验证)联盟和万维网联盟(W3C)创建的无密码登录标准的支持,为用户提供更快、更轻松、更安全的登录过程。
那么,什么是无密码登录?无密码真的安全吗?
无密码如何登录?
传统的密码登录被认为是互联网最大的安全问题之一。
微软的一项研究显示,几乎80%的网络攻击都针对密码,每天有250个企业账户会遭到黑客攻击。ITIGIC的数据也显示,少于五个字符组成的密码基本可以被黑客瞬间破解,而由八个字符、数字和区分大小写的密码,也只需要一个小时左右就能被破解。
正因为单纯由数字或字母组成的密码过于脆弱,导致互联网平台对于密码的要求已经变得越来越复杂。如今,互联网平台通常会具体到密码中应该包括多个符号、数字、大小写字符,并且会禁止使用以前的密码,这就使得用户记住和管理密码变得非常不便。
基于这种现状,微软、谷歌、苹果等科技公司陆续开始推行无密码的方式,希望用新的身份验证方式,来取代现有的账号密码体系。
但值得注意的是,无密码并不等于没有密码。
在无密码模式下,用户将手机等硬件作为主要验证设备,注册账户时系统会检测硬件信息并与之绑定。之后,用户使用指纹、面部识别或设备密码锁等方式解锁硬件设备,都将成为默认动作,用于之后的账户登录,而无需输入密码。
实际上,这种无密码化的操作我们并不陌生。
例如,微信平台的登录,为了做到账户的强安全保障,在电脑端的登录并不需要输入密码,而只能使用手机确认身份登录。
还有许多APP上经常见到的“微信登录”、“QQ登录”、“支付宝登录”,或“本机号码一键登录”,这些登录方式的实现过程中也不会需要输入密码,其本质上就是无密码登录。
科技巨头推动无密码技术发展
回到文章开头,微软、谷歌、苹果推广的无密码登录如何操作?如果全面普及,将达到什么样的效果呢?
具体来说,微软等厂商是在FIDO框架下,允许用户在多台设备、包括新设备上自动访问FIDO登录证书,而不必重新去注册每一个账户。同时,允许用户在移动设备上使用FIDO认证,以通过附近的设备登录APP或网站,而无论这些设备运行哪一种操作系统或浏览器。
需要提一下的是,FIDO是一个成立于2012年的行业协会,致力于构建一套开放的协议标准,用来改变目前主流的密码验证方式。
加入FIDO的会员都是大公司,如:Google、BlackBerry、ARM、英特尔、PayPal、Lenovo、MasterCard、三星、VISA、Synaptics、RSA、微软等。中国会员有阿里巴巴、联想、飞天诚信、支付宝等等以及中国台湾的神盾股份。
按照FIDO 1.0协议,目前产生了两种无密码认证的方式,其一是通用认证框架(下文简称为UAF),其二则是通用双因素认证框架(下文简称为U2F)。
UAF就是指纹、语音、虹膜、脸部识别等生物身份识别方式,使用的是每个用户都独一无二的生物特征,来证明“我是我”,并且这一解决方案目前在各领域都已经有了大规模的应用。用过支付宝等软件的指纹验证都懂,UAF省去了输入密码的麻烦。
U2F则是双因素验证,这一身份认证机制对于iOS用户和游戏玩家来说应该不会陌生,指的是在密码之外,还需要一个额外的设备接收实时验证码,例如网银的U盾、Steam令牌等等“登录器”。这样做的好处是就算密码被钓鱼邮件不小心钓走了,黑客也无法登录账号,无法冒充本人。
总的来说,扫一扫登录、指纹识别、人脸验证、U盾、NFC芯片、语音识别、以及之前升级Windows11时需要的TPM可信赖平台模块,都是在FIDO的协议标准里面。
而FIDO推广的无密码登录方式,除了提升用户体验以及保护个人账户信息安全外,还能让服务提供商提供FIDO凭据,用于账户意外丢失后的恢复。另外,这种方式也被认为对残障人士和老年人用户更为友好。
正因为如此,科技企业一直在推动“去密码化”商用进程。
微软在2015年就展示了Windows系统如何用脸部识别技术登录电脑,在2018年启用了安全密钥并在2019年实现了Windows 10无密码化。2021年,微软宣布微软账户可以无密码登录旗下各类应用和服务账户。
谷歌也在极力尝试将密码从人们的生活中抹去。2017年谷歌就要求员工使用安全密钥进行账户登录。2018年,谷歌将这种安全密钥产品化并推广至消费市场,用户能用这种安全密钥在个人智能设备上进行FIDO标准化的两步身份验证。2019年,谷歌宣布将这种安全密钥功能移植于安卓7.0,用户能用安卓手机通过蓝牙在其他设备上进行两步身份验证。
苹果自从2013年推出iPhone5S的指纹识别功能后,苹果的Touch ID作为智能设备的无密码典型应用被其他公司所借鉴。2017年,苹果在手机产品iPhone×上配备了脸部识别技术Face ID,相对指纹识别五万分之一被破解的概率,Face ID被破解的概率为百万分之一。
简单来说,如果微软、谷歌、苹果推广的无密码登录全面普及,用户真实面对的场景可能就是在常规的登录界面之外,还会出现一个“Apple ID/谷歌账号/微软账号”登录的选项,是各大网站或APP将校验用户身份的权利给予这三大厂商,并信任这些第三方给出的结果。
无密码时代到来了吗?
尽管如此,业内也对无密码化表示出了一些担心。
比如,有FIDO联盟成员建议将FIDO授权存储在云中,这样当用户换了一部新手机或丢失当前手机时,依旧可以无障碍地登录过往所有账户。
但是,这种做法也会带来风险,如果云平台被黑客入侵,那么他们将获得授权,用户所有的账户信息容易遭到泄露。因此,业界也质疑FIDO并不是100%安全的解决方案。
不过,在苹果、谷歌、微软等科技巨头看来,自家的服务器可谓是固若金汤,用于存储用户的身份认证信息是节约整个互联网行业运行成本的有力举措。
事实上也确实如此,在目前的账号密码体系下,各个向用户提供服务的网站及APP基本都是自己保存用户的账号密码到服务器里,但中小厂商乃至个人开发者对于网络安全的投入自然是不如这些大厂的。
对于中小企业来说,这些巨头提供的无密码登录可以有效降低用户的使用门槛,能够获取用户的关系链来提升用户规模。
但在此事中,这些科技巨头得到的或许会更多。毕竟中小企业接入到他们所打造的无密码体系中,就意味着需要向他们也打开大门,不仅要成为微软、苹果、谷歌的认证开发者,还需要交出用户信息。
更为重要的是,一旦用户养成了使用无密码登录服务的习惯,就等于将这些用户彻底捆绑在了一起,在当下这个流量增长红利不再的市场环境下,无疑成为争夺用户的利器。
据Gartner分析师Ant Allan的研究预测,到2022年,60%的大型和跨国企业以及90%的中型企业,将在超过50%的应用场景中实施无密码身份认证方法,这一比例远高于2018年的5%。
全面无密码登录的科技时代或许很快就会到来,但推动无密码化仍然需要一个过程。
此外,在技术层面,即便现在业界已有FIDO这类技术标准,但主导方仍是美国的科技巨头。若要普及还需要更多企业参与,整个产业在身份识别标准方面达成共识后,共同推进无密码化的进程,从而在真正方便用户的同时保护个人信息和数据安全。
【关于科技云报道】
专注于原创的企业级内容行家——科技云报道。成立于2015年,是前沿企业级IT领域Top10媒体。获工信部权威认可,可信云、全球云计算大会官方指定传播媒体之一。深入原创报道云计算、大数据、人工智能、区块链等领域。