作者 | 来自镁客星球的家衡
保护密码最好的方案,就是放弃密码。
一年前的苹果全球开发者大会(WWDC)上,苹果展示了一种基于“iCloud钥匙串”的无密码登录技术,当用户使用Safari浏览器时,可以直接通过生物识别方式填写保存的密码。
在本周的WWDC上,苹果继续将此项技术完善,并将其命名为“Passkeys”(万能密码):用户无需复杂的组合密码,甚至不需要验证码,仅需一组储存在设备端的数字密钥即可完成相应网站或App的登陆。
不单是苹果,其他互联网公司同样也开始在自家设备或平台上尝试“无密码登录”,包括谷歌、微软、雅虎等公司均提出了相应的解决方案,目的就是取代传统的“纯密码登录”。
用业内人士的话来说,纯密码就是“20世纪的遗产”,黑客可能很容易盗取密码;而站在用户的角度来看,绞尽脑汁想出的组合密码经常就会遗忘。
那么这场“无密码”的革命,真的能开启隐私安全的“新时代”吗?
苹果如何实现无密码?
曾经,苹果也因为“密码泄露”焦头烂额。
2014年9月,苹果的iCloud遭到黑客攻击,大约200位名人明星的私密照片在互联网上传播,引来众多网友吃瓜。
其中一位黑客使用的方法十分简单,通过广撒网的钓鱼邮件,该黑客轻松获取了受害者的账号与密码,并且由于苹果当时没有设置必要的验证机制,因此他可以直接通过密码就进入这些账号。
这次事件让苹果被推到舆论的风口浪尖,一些受害的名人甚至直接在社交平台上说出“thanks Apple”这样嘲讽的话。此后,苹果开始鼓励用户采用双因素认证,该技术通过基于时间、事件和密钥产生的一次性密码来代替传统的静态密码,可以一定程度上避免未经授权的登录行为。
但这种“强加”的两步认证依然可以通过暴力验证、修改IP地址等方式进行破解,并且复杂的操作还被用户起诉干扰了设备的正常使用。不过在没有更好的方案之前,双重认证依然是保护账户安全的有效方法。
既然任何输入方式都存在被破解的风险,苹果干脆选择了押注生物识别方案。无论是过去基于指纹的Touch ID还是当下最主流的Face ID,这种不需要频繁输入密码的登录方式使得登陆iCloud等苹果旗下的软件更加方便,同时更加安全。
事实上,最早的Touch ID只能用于屏幕解锁。但之后随着iOS 8的发布、Apple Pay的面世,以及苹果Touch Id API的开放,Apple Pay逐渐与Touch ID的结合,成为第三方支付的手段之一,同时让Touch ID也成了保护密码的重要手段。
到了Face ID时代,得益于深感摄像头和3D结构光技术,认证方法则更为安全。
但和双重认证一样,即使已经做到了绝对安全,但Face ID同样无法取代密码问题。
首先用户仍然需要使用密码才能登录Apple ID、iCloud等功能。其次作为重要的一点,并不是所有的第三方生态都支持Face ID登录,如果用户尝试跨平台(例如安卓、Windows)或者跨设备(例如Mac系列产品),仍然需要密码登陆。
或许这就是苹果希望推行“无密码技术”的原因。
FIDO联盟的“无密码愿望”
开头也提到,不单是苹果,许多互联网公司也在推行无密码登陆,而这些公司背后都牵连到一家名为FIDO(Fast IDentity Online,线上快速身份验证)的技术联盟。也正是在今年5月8日的“世界密码日”上,苹果、微软、谷歌三家科技巨头表示,他们将“在未来一年内”开始推出基于FIDO标准的技术。
FIDO标准究竟为何物?
简单来说,和苹果推行无密码的思路并无二异,即“生物认证框架”与“双因素认证标准”,但除这两点以外,FIDO联盟还强调不同设备与不同App、系统生态之间的互联。
换句话说,在FIDO联盟的规范下,不同厂商之间的硬件设备与软件只需一套加密方法即可实现登录。
FIDO将这种加密方法称之为“私钥-公钥”,私钥在设备端,而上传到服务器里的则为公钥(账号)。这个私钥可以是指纹,也可以是面部信息,或者单纯就是一个硬件设备。
总之,原先的密码已经被私钥取代。
我们以Passkeys为例,识别私钥的方式便是支持Touch ID或是Face ID的设备,先是通过公钥加密验证登录网站和应用程序的用户身份,随即向手机发送认证请求验证私钥,两步都完成验证后即可完成登录。
虽然目前Passkeys功能仍需要iCloud钥匙串的支持,但未来完全可以用随机的密钥取代。
微软和谷歌的方案与苹果也类似,他们分别推出各自的Authenticator验证器App,当在不同的设备上登录账号时,用户只需要在App上进行批准即可通过验证。
不过和iCloud钥匙串一样,目前这些Authenticator验证器还停留在“密码填充”的阶段,App的功能只是相当于“密码保险箱”,只不过降低了输入密码时泄露的风险。
除了解决密码输入的问题,FIDO联盟更希望解决多设备和跨平台的限制。
根据FIDO白皮书的描述,未来将允许用户通过一个现有设备作为硬件令牌,无论iOS、安卓,还是Windows,都可以进行互通:“我们希望认证器供应商在他们的认证器实现中做出这一改变。”
或许在FIDO的设想里,为了无论iOS还是安卓,只需一台设备都能相互解锁。
“无密码时代”真的能实现吗?
FIDO联盟在其官网显示,密码泄露是超过80%数据泄露的根本原因,更是有高达51%的密码被重复使用。
另据美国审查平台GoodFirms在2021年的一则报告中提出,45.7%的受访者表示他们会在多个站点或者应用程序使用重复的密码,52.9%的受访者与同事、朋友、家人分享他们的密码,同时有30%的受访者表示因为密码薄弱而经历过安全漏洞。
不仅用户成了密码泄露的受害者,厂商同时也为如何保护隐私密码安全而犯难。
因此这些互联网公司推行“无密码登录”本意希望减少数据泄露风险,用户也能从中受益。
但想真正告别纯密码登录体系进入“无密码时代”,还需要一段时间。
首先,目前几家科技巨头推出的方案本质上还是一种“密码保管器”:如何找到一种安全的密钥生成方式,这是科技巨头们下一步的工作重点。
其次,这些方案当前仅仅支持自家生态产品,第三方App仍然需要密码登录,这些软件厂商并不会愿意把安全权限交给这些硬件公司。
最后,跨平台之间的壁垒是否能打破依然是个谜题。FIDO联盟的设想很好,但苹果与谷歌是否真的愿意从系统底层做出改变呢?
值得一提的是,此前苹果一直拒绝甚至排斥FIDO联盟所推行的摆脱密码的计划,当时苹果认为自己拥有足够的精力来保证用户账户的使用安全。但在一次又一次安全问题事件之后,苹果终于选择妥协,并在iOS中添加了兼容FIDO规范的安全密钥。
或许在行业的推动下,厂商之间也能放弃壁垒,共同推进这一“隐私安全革命”。