侵權(quán)投訴
訂閱
糾錯
加入自媒體

密碼又忘了?沒關(guān)系,無密碼時代要來了!

人們每天都在各種設(shè)備中輸入密碼,但絕大多數(shù)人其實并沒有養(yǎng)成良好的密碼使用習(xí)慣。

在知名密碼管理服務(wù)公司NordPass每年公布的“全球200個最常用密碼榜單”里,其中“123456”的榜首地位常年未能被撼動。

盡管許多人習(xí)慣于使用“123456”是因為這個密碼確實簡單好記,但同時這也帶來了不小的安全風(fēng)險。

既然如此,為什么不將密碼這一古老的事物淘汰呢?

5月5日,也就是在今年的“世界密碼日”上,蘋果、谷歌與微軟聯(lián)合宣布,計劃擴展對FIDO(Fast IDentity Online線上快速身份驗證)聯(lián)盟和萬維網(wǎng)聯(lián)盟(W3C)創(chuàng)建的無密碼登錄標準的支持,為用戶提供更快、更輕松、更安全的登錄過程。

那么,什么是無密碼登錄?無密碼真的安全嗎?

無密碼如何登錄?

傳統(tǒng)的密碼登錄被認為是互聯(lián)網(wǎng)最大的安全問題之一。 微軟的一項研究顯示,幾乎80%的網(wǎng)絡(luò)攻擊都針對密碼,每天有250個企業(yè)賬戶會遭到黑客攻擊。

ITIGIC的數(shù)據(jù)也顯示,少于五個字符組成的密碼基本可以被黑客瞬間破解,而由八個字符、數(shù)字和區(qū)分大小寫的密碼,也只需要一個小時左右就能被破解。

正因為單純由數(shù)字或字母組成的密碼過于脆弱,導(dǎo)致互聯(lián)網(wǎng)平臺對于密碼的要求已經(jīng)變得越來越復(fù)雜。

如今,互聯(lián)網(wǎng)平臺通常會具體到密碼中應(yīng)該包括多個符號、數(shù)字、大小寫字符,并且會禁止使用以前的密碼,這就使得用戶記住和管理密碼變得非常不便。

基于這種現(xiàn)狀,微軟、谷歌、蘋果等科技公司陸續(xù)開始推行無密碼的方式,希望用新的身份驗證方式,來取代現(xiàn)有的賬號密碼體系。

但值得注意的是,無密碼并不等于沒有密碼。

在無密碼模式下,用戶將手機等硬件作為主要驗證設(shè)備,注冊賬戶時系統(tǒng)會檢測硬件信息并與之綁定。

之后,用戶使用指紋、面部識別或設(shè)備密碼鎖等方式解鎖硬件設(shè)備,都將成為默認動作,用于之后的賬戶登錄,而無需輸入密碼。 實際上,這種無密碼化的操作我們并不陌生。

例如,微信平臺的登錄,為了做到賬戶的強安全保障,在電腦端的登錄并不需要輸入密碼,而只能使用手機確認身份登錄。

還有許多APP上經(jīng)常見到的“微信登錄”、“QQ登錄”、“支付寶登錄”,或“本機號碼一鍵登錄”,這些登錄方式的實現(xiàn)過程中也不會需要輸入密碼,其本質(zhì)上就是無密碼登錄。

科技巨頭推動無密碼技術(shù)發(fā)展

回到文章開頭,微軟、谷歌、蘋果推廣的無密碼登錄如何操作?如果全面普及,將達到什么樣的效果呢?

具體來說,微軟等廠商是在FIDO框架下,允許用戶在多臺設(shè)備、包括新設(shè)備上自動訪問FIDO登錄證書,而不必重新去注冊每一個賬戶。

同時,允許用戶在移動設(shè)備上使用FIDO認證,以通過附近的設(shè)備登錄APP或網(wǎng)站,而無論這些設(shè)備運行哪一種操作系統(tǒng)或瀏覽器。

需要提一下的是,F(xiàn)IDO是一個成立于2012年的行業(yè)協(xié)會,致力于構(gòu)建一套開放的協(xié)議標準,用來改變目前主流的密碼驗證方式。

加入FIDO的會員都是大公司,如:Google、BlackBerry、ARM、英特爾、PayPal、Lenovo、MasterCard、三星、VISA、Synaptics、RSA、微軟等。

中國會員有阿里巴巴、聯(lián)想、飛天誠信、支付寶等等以及中國臺灣的神盾股份。

按照FIDO 1.0協(xié)議,目前產(chǎn)生了兩種無密碼認證的方式,其一是通用認證框架(下文簡稱為UAF),其二則是通用雙因素認證框架(下文簡稱為U2F)。

UAF就是指紋、語音、虹膜、臉部識別等生物身份識別方式,使用的是每個用戶都獨一無二的生物特征,來證明“我是我”,并且這一解決方案目前在各領(lǐng)域都已經(jīng)有了大規(guī)模的應(yīng)用。

用過支付寶等軟件的指紋驗證都懂,UAF省去了輸入密碼的麻煩。

U2F則是雙因素驗證,這一身份認證機制對于iOS用戶和游戲玩家來說應(yīng)該不會陌生,指的是在密碼之外,還需要一個額外的設(shè)備接收實時驗證碼,例如網(wǎng)銀的U盾、Steam令牌等等“登錄器”。

這樣做的好處是就算密碼被釣魚郵件不小心釣走了,黑客也無法登錄賬號,無法冒充本人。

總的來說,掃一掃登錄、指紋識別、人臉驗證、U盾、NFC芯片、語音識別、以及之前升級Windows11時需要的TPM可信賴平臺模塊,都是在FIDO的協(xié)議標準里面。

而FIDO推廣的無密碼登錄方式,除了提升用戶體驗以及保護個人賬戶信息安全外,還能讓服務(wù)提供商提供FIDO憑據(jù),用于賬戶意外丟失后的恢復(fù)。

另外,這種方式也被認為對殘障人士和老年人用戶更為友好。 正因為如此,科技企業(yè)一直在推動“去密碼化”商用進程。

微軟在2015年就展示了Windows系統(tǒng)如何用臉部識別技術(shù)登錄電腦,在2018年啟用了安全密鑰并在2019年實現(xiàn)了Windows 10無密碼化。

2021年,微軟宣布微軟賬戶可以無密碼登錄旗下各類應(yīng)用和服務(wù)賬戶。 谷歌也在極力嘗試將密碼從人們的生活中抹去。2017年谷歌就要求員工使用安全密鑰進行賬戶登錄。

2018年,谷歌將這種安全密鑰產(chǎn)品化并推廣至消費市場,用戶能用這種安全密鑰在個人智能設(shè)備上進行FIDO標準化的兩步身份驗證。

2019年,谷歌宣布將這種安全密鑰功能移植于安卓7.0,用戶能用安卓手機通過藍牙在其他設(shè)備上進行兩步身份驗證。

蘋果自從2013年推出iPhone5S的指紋識別功能后,蘋果的Touch ID作為智能設(shè)備的無密碼典型應(yīng)用被其他公司所借鑒。

2017年,蘋果在手機產(chǎn)品iPhone×上配備了臉部識別技術(shù)Face ID,相對指紋識別五萬分之一被破解的概率,F(xiàn)ace ID被破解的概率為百萬分之一。

簡單來說,如果微軟、谷歌、蘋果推廣的無密碼登錄全面普及,用戶真實面對的場景可能就是在常規(guī)的登錄界面之外,還會出現(xiàn)一個“Apple ID/谷歌賬號/微軟賬號”登錄的選項,是各大網(wǎng)站或APP將校驗用戶身份的權(quán)利給予這三大廠商,并信任這些第三方給出的結(jié)果。

無密碼時代到來了嗎?

盡管如此,業(yè)內(nèi)也對無密碼化表示出了一些擔心。

比如,有FIDO聯(lián)盟成員建議將FIDO授權(quán)存儲在云中,這樣當用戶換了一部新手機或丟失當前手機時,依舊可以無障礙地登錄過往所有賬戶。

但是,這種做法也會帶來風(fēng)險,如果云平臺被黑客入侵,那么他們將獲得授權(quán),用戶所有的賬戶信息容易遭到泄露。

因此,業(yè)界也質(zhì)疑FIDO并不是100%安全的解決方案。

不過,在蘋果、谷歌、微軟等科技巨頭看來,自家的服務(wù)器可謂是固若金湯,用于存儲用戶的身份認證信息是節(jié)約整個互聯(lián)網(wǎng)行業(yè)運行成本的有力舉措。

事實上也確實如此,在目前的賬號密碼體系下,各個向用戶提供服務(wù)的網(wǎng)站及APP基本都是自己保存用戶的賬號密碼到服務(wù)器里,但中小廠商乃至個人開發(fā)者對于網(wǎng)絡(luò)安全的投入自然是不如這些大廠的。

對于中小企業(yè)來說,這些巨頭提供的無密碼登錄可以有效降低用戶的使用門檻,能夠獲取用戶的關(guān)系鏈來提升用戶規(guī)模。 但在此事中,這些科技巨頭得到的或許會更多。

畢竟中小企業(yè)接入到他們所打造的無密碼體系中,就意味著需要向他們也打開大門,不僅要成為微軟、蘋果、谷歌的認證開發(fā)者,還需要交出用戶信息。

更為重要的是,一旦用戶養(yǎng)成了使用無密碼登錄服務(wù)的習(xí)慣,就等于將這些用戶徹底捆綁在了一起,在當下這個流量增長紅利不再的市場環(huán)境下,無疑成為爭奪用戶的利器。

據(jù)Gartner分析師Ant Allan的研究預(yù)測,到2022年,60%的大型和跨國企業(yè)以及90%的中型企業(yè),將在超過50%的應(yīng)用場景中實施無密碼身份認證方法,這一比例遠高于2018年的5%。

全面無密碼登錄的科技時代或許很快就會到來,但推動無密碼化仍然需要一個過程。 此外,在技術(shù)層面,即便現(xiàn)在業(yè)界已有FIDO這類技術(shù)標準,但主導(dǎo)方仍是美國的科技巨頭。

若要普及還需要更多企業(yè)參與,整個產(chǎn)業(yè)在身份識別標準方面達成共識后,共同推進無密碼化的進程,從而在真正方便用戶的同時保護個人信息和數(shù)據(jù)安全。

【科技云報道原創(chuàng)】

轉(zhuǎn)載請注明“科技云報道”并附本文鏈接

       原文標題 : 密碼又忘了?沒關(guān)系,無密碼時代要來了!

聲明: 本文由入駐維科號的作者撰寫,觀點僅代表作者本人,不代表OFweek立場。如有侵權(quán)或其他問題,請聯(lián)系舉報。

發(fā)表評論

0條評論,0人參與

請輸入評論內(nèi)容...

請輸入評論/評論長度6~500個字

您提交的評論過于頻繁,請輸入驗證碼繼續(xù)

暫無評論

暫無評論

安防 獵頭職位 更多
文章糾錯
x
*文字標題:
*糾錯內(nèi)容:
聯(lián)系郵箱:
*驗 證 碼:

粵公網(wǎng)安備 44030502002758號