苹果新技术将真正实现无密码登录,苹果、谷歌、微软都有一个大计划,它们想淘汰密码。三大科技公司都与 FIDO Alliance 合作,苹果新技术将真正实现无密码登录。
苹果新技术将真正实现无密码登录1
苹果2022年全球开发者大会(WWDC)线上举行,带来了iOS16、iPad OS16、watchOS 9、MacOS Ventura一系列更新。会上,苹果演示了不使用密码的生物识别身份验证系统Passkeys,并认为该功能“旨在完全替代密码成为下一代登录凭证。”
近年来,因密码被盗而导致的数据泄露事件频发。苹果一直在与包括谷歌和微软在内的FIDO(Fast IDentity Online,线上快速身份验证)行业联盟合作,确保无密码登录能够跨平台无缝衔接工作,打造无密码未来。
"passkeys"功能或结束记忆密码历史
苹果本次发布Passkey主要为应对纯密码登录所带来的数据泄露风险。
美国审查平台GoodFirms在2021年一则报告中提出,45.7% 的受访者重复使用多个站点/应用程序的密码,52.9%的受访者与同事、朋友、家人分享他们的密码,而30%的受访者因密码薄弱而经历过安全漏洞。
科技电信公司Verizon 2022年度数据泄露报告提出,黑客可以通过许多不同的方式获取用户的名字和密码,通过自动化排列个人信息的方式来推断用户的个人密码。黑客还可以通过另一个被黑的网站上,亦或是通过设置钓鱼网站链接来获取用户的密码。
FIDO联盟官网数据显示,密码泄露是超过80%的数据泄露的根本原因,高达51%的密码被重复使用,单次密码重置所需要的平均人工成本高达70美元。
为解决纯密码登录所带来的数据泄露风险,苹果与多家科技企业合作,并与FIDO进行沟通交流,设立新的身份验证标准。FIDO联盟提出将纯密码身份验证的登录方式替换为跨网站和应用程序的安全快速登录模式。Passkey就是这种“安全快速登录模式”下的一项应用。
苹果在大会中指出,Passkey通过使用强大的加密技术和设备内置的生物识别技术来确认身份。用户只需要透过TouchID和FaceID进行身份验证来创建唯一的数字Passkey。该Passkey仅适用于创建它的站点,并存放在本地设备中,永远不会通过开放的网络进行传输。
苹果方面表示,“由于Passkey永远不会离开用户的设备,黑客无法诱骗用户在虚假网站上共享。网站上没有任何秘密,因此密码无法泄露。”
无密码登录成为趋势
无密码登录正在成为商业趋势。6月6日,密码管理提供商LastPass宣布加入FIDO无密码运动。随后该公司将在其旗舰产品上新增无密码登录功能。而就在几天前,另一个密码管理软件1Password也宣布加入FIDO 联盟,使用户能够在没有密码的情况下登录自己的帐户。
今年5月5日,苹果、谷歌和微软就宣布支持由 FIDO 联盟和万维网联盟创建的通用“Passkey”标准,该标准将使用户能通过指纹或面部识别技术访问网站和应用程序。“Passkey”旨在合作消除现有的数十种繁琐且有风险的纯密码登录体系。
谷歌方面表示,谷歌一直在与FIDO联盟合作,以消除过时的、基于密码的身份验证。该公司将在 Chrome、ChromeOS、Android 和其他平台上提供基于 FIDO联盟的技术支持,并将鼓励应用程序和网站开发人员应用这项技术。
微软身份项目管理公司的相关负责人则强调了“Passkey”的必要性:“任何可行的解决方案都必须比当今使用的密码和传统的多因素身份验证方法更安全、更容易和更快。”
FIDO面对纯密码登录提出了相应的解决方案。未来,雅虎、eBay等越来越多的互联网企业都计划将参与到无密码登录计划当中。
除推行无密码登录外,为防范数据泄露风险,英国2022年网络安全漏洞调查显示,在英国,75%的企业和57%的慈善机构通过确保用户设置强密码策略,来防范用户密码泄露所带来的损失。
苹果新技术将真正实现无密码登录2
苹果、谷歌、微软都有一个大计划,它们想淘汰密码。三大科技公司都与 FIDO Alliance 合作,该组织正在开发新密匙系统,让用户自动登录线上账户,系统用到了基于设备的面部识别和指纹识别技术。你可以将新系统想象成密码管理器,但是没有实际密码。
之所以要淘汰密码,其中一个原因是密码不安全。但淘汰密码的后果同样有些严重,因为你要将数字密匙交给苹果、微软、谷歌,这些科技巨头可以把你进一步捆绑到自己的生态系统之中。FIDO Alliance 还没有找到很好的办法来解决捆绑问题。
FIDO 想推广 " 多设备 FIDO 证书 ",大型科技公司管它叫密匙。简单来说是这样的:当你用面部或者指纹解锁设备时,系统可以证明你是谁,然后就可以直接进入 App 或者网站了。
举个例子,你想在某个社交网站创建账户,你不必设置密码,手机会生成隐藏密匙,安全存放在设备内。社交网站不会存储你的密匙,它从手机中获取认证信息,验证你的身份,让你进入。
这种技术有两个好处,首先,你不必为每一个 App 记住新密码,也不需要学习如何使用密码管理器;其次,用户不必担心丢失密码。
FIDO Alliance 高管 Andrew Shikiar 说:" 我们希望用户从服务器获取密码。"
密匙不必与手机捆绑,苹果、谷歌可以通过云服务同步密匙,你在一台设备上创建账户,在另一台设备也可以快速登录。
听起来 FIDO 技术和密码管理器没什么区别,苹果谷歌都有类似软件,不同的是 FIDO 流程中没有实际密码。
Andrew Shikiar 说他们提供和密码管理器、浏览器存储密码一样的体验,但是使用的不是现有密码,而是密匙。
如果想在不同生态系统之间批量转移密匙怎么办?Shikiar 说:" 现在还没有真正的批量转移方法,未来可能会有。"
现在的密码转移还是简单的,浏览器可以做到,密码管理器也可以。FIDO 的确有一套应对方案,它允许用户一个一个复制密匙,但如果用户想更换生态系统,这样的方案肯定不安全。
谷歌高管 Sam Srinivas 说,捆绑不是各企业的.目标,大家对互操作很感兴趣。Sam Srinivas 强调:" 从长远来说捆绑会压制世界的变化,各平台不希望出现这样的局面,捆绑并非各平台本意,大家的本意是想让互联网更安全。" 说是这样说,你信吗?
如果所有密匙可以轻松转移,是不是会给黑客留下可乘之机?这是一个大问题,现在还不知道如何解决。
要想防止大平台捆绑用户,有一个办法也许可行:让第三方密码管理器管理密钥。如此一来,用户不必依赖苹果谷歌微软就可以在平台之间轻松切换。
即使如此,密码管理器也需要大型科技公司支持,因为密码管理器要与大公司各自的操作系统整合。现在的密码管理器可以自动填充密码,但操作时并没有那么流畅。
Bitwarden 和 1Password 是国外比较有名的密码管理器,它们已经加入 FIDO Alliance。
苹果谷歌微软希望未来几年全面拥抱无密码登录技术,如果想让各 App 和网站接受可能还要多等几年。
苹果工程师 Garrett Davidson 说:" 只需要点击一下就能进入,相比今天常见的身份验证技术,它更容易更安全更快。"
据悉,明年苹果、谷歌、微软就会在自己的平台推广 FIDO Alliance 无密码标准,对此你怎么看?
苹果新技术将真正实现无密码登录3
在美国当地时间周二举行的全球开发者大会(WWDC)上,苹果宣布将首次实现真正的无密码登录,那么它是如何做到的?该公司解释称,将在iOS 16和MacOS Ventura应用和网站中使用Passkey,并使用Touch ID或Face ID进行身份验证。
多年来,很多公司都承诺将提供更安全、无密码登录方案,而2022年可能是让人们远离密码的开始。在今年的全球开发者大会上,苹果宣布将于今年9月份开始在Mac、iPhone、iPad和Apple TV上推出无密码登录。在iOS 16和MacOS Ventura上,人们将不再使用密码,而是使用Passkey登录网站和应用。这是现实世界中为消除密码而进行的第一次重大转变。
那么,苹果是如何做到的呢?该公司互联网技术副总裁达里恩·阿德勒(Darin Adler)在WWDC上解释说,Passkey通过使用Touch ID或Face ID创建新的数字密钥来取代密码。当用户在网站上创建在线帐户时,他们就可以使用Passkey而不是密码。阿德勒说:“要创建Passkey,只需使用Touch ID或Face ID进行身份验证即可。”
当用户再次登录该网站时,Passkey允许其通过使用生物识别信息进行验证,而不必输入密码(或者让密码管理器生成新密码)。在Mac上登录网站时,iPhone或iPad上会出现提示,要求验证身份。苹果表示,Passkey将使用iCloud的Keychain在设备上同步,而且Passkey存储在用户的设备上,而不是服务器上。
在幕后,苹果Passkey是基于Web Authentication API(WebAuthn)开发的,并且支持端到端加密,所以没有人可以读取它们,包括苹果本身。创建Passkey的系统使用公钥-私钥身份系统来证明用户的身份。
对于大多数人来说,无密码系统将是网络安全领域的重大进步。除了消除可能被破解的密码外,不再使用密码还可以帮助降低遭到网络钓鱼攻击的危险。而且,如果密码本来就不存在,在数据泄露事件中就不会被窃取。目前,虽然部分应用程序和网站已经允许人们使用指纹或面部识别登录,但这通常需要他们首先创建带有密码的账户。
苹果的Passkey并不是全新的发明,该公司在2021年的WWDC上首次详细介绍了它们,并在不久后开始测试。而且,苹果也不是唯一一家想要消除密码的公司。近十年来,科技行业组织The FIDO Alliance也始终在致力于制定消除密码所需的基本标准,而Passkey正是苹果支持这些标准的举措。
近几个月来,FIDO采取了一系列重要措施,以加速消除密码。今年3月,该组织已经找到一种方法来存储让不同设备之间同步登录的加密密钥,称之为“多设备FIDO证书”或“passkey”。
紧随其后的是,苹果、微软和谷歌都宣布支持FIDO标准。美国网络安全和基础设施安全局局长珍·伊斯特利(Jen Easterly)表示,采用这些标准将确保更多人的网络安全。当时,这三家科技巨头称,他们将开始“在未来一年”推出这项技术。自去年9月以来,微软的用户账户已经可以放弃密码,而谷歌自2008年以来也始终在研究无密码登录技术。
当所有科技公司都推出了自己版本的passkey后,该系统应该可以在不同的设备上运行。理论上,用户可以用iPhone登录运行Windows的笔记本电脑,或者用安卓平板电脑在微软Edge浏览器中登录网站。FIDO执行董事安德鲁·希基亚尔(Andrew Shikiar)说:“FIDO的所有规格都是合作开发的,有数百家公司参与。”
希基亚尔已经证实,苹果是第一家开始推出passkey技术的公司,并称“这种方法很快就会对全球消费者产生实际影响”。要想实现无密码登录,取决于passkey技术在现实中的表现。目前,如果你想抛弃苹果的生态系统,转而使用安卓或其他平台,Passkey会发生什么,这仍是个悬而未决的问题。开发者仍然需要对他们的应用和网站进行更改,才能使用Passkey。
此外,无密码技术要想获得人们的信任,首先要让人们了解它的运作方式。微软身份管理项目负责人亚历克斯·西蒙斯(Alex Simons)表示:“任何可行的解决方案都必须比目前使用的密码和传统多重身份验证方法更安全、更容易、更快捷。”简而言之:如果跨设备登录系统难以使用,人们可能会避开它们,转而继续使用危险却方便的密码。
