密碼又忘了?沒關(guān)系,無密碼時(shí)代要來了!
人們每天都在各種設(shè)備中輸入密碼,但絕大多數(shù)人其實(shí)并沒有養(yǎng)成良好的密碼使用習(xí)慣。
在知名密碼管理服務(wù)公司NordPass每年公布的“全球200個(gè)最常用密碼榜單”里,其中“123456”的榜首地位常年未能被撼動(dòng)。
盡管許多人習(xí)慣于使用“123456”是因?yàn)檫@個(gè)密碼確實(shí)簡(jiǎn)單好記,但同時(shí)這也帶來了不小的安全風(fēng)險(xiǎn)。
既然如此,為什么不將密碼這一古老的事物淘汰呢?
5月5日,也就是在今年的“世界密碼日”上,蘋果、谷歌與微軟聯(lián)合宣布,計(jì)劃擴(kuò)展對(duì)FIDO(Fast IDentity Online線上快速身份驗(yàn)證)聯(lián)盟和萬維網(wǎng)聯(lián)盟(W3C)創(chuàng)建的無密碼登錄標(biāo)準(zhǔn)的支持,為用戶提供更快、更輕松、更安全的登錄過程。
那么,什么是無密碼登錄?無密碼真的安全嗎?
無密碼如何登錄?
傳統(tǒng)的密碼登錄被認(rèn)為是互聯(lián)網(wǎng)最大的安全問題之一。 微軟的一項(xiàng)研究顯示,幾乎80%的網(wǎng)絡(luò)攻擊都針對(duì)密碼,每天有250個(gè)企業(yè)賬戶會(huì)遭到黑客攻擊。
ITIGIC的數(shù)據(jù)也顯示,少于五個(gè)字符組成的密碼基本可以被黑客瞬間破解,而由八個(gè)字符、數(shù)字和區(qū)分大小寫的密碼,也只需要一個(gè)小時(shí)左右就能被破解。
正因?yàn)閱渭冇蓴?shù)字或字母組成的密碼過于脆弱,導(dǎo)致互聯(lián)網(wǎng)平臺(tái)對(duì)于密碼的要求已經(jīng)變得越來越復(fù)雜。
如今,互聯(lián)網(wǎng)平臺(tái)通常會(huì)具體到密碼中應(yīng)該包括多個(gè)符號(hào)、數(shù)字、大小寫字符,并且會(huì)禁止使用以前的密碼,這就使得用戶記住和管理密碼變得非常不便。
基于這種現(xiàn)狀,微軟、谷歌、蘋果等科技公司陸續(xù)開始推行無密碼的方式,希望用新的身份驗(yàn)證方式,來取代現(xiàn)有的賬號(hào)密碼體系。
但值得注意的是,無密碼并不等于沒有密碼。
在無密碼模式下,用戶將手機(jī)等硬件作為主要驗(yàn)證設(shè)備,注冊(cè)賬戶時(shí)系統(tǒng)會(huì)檢測(cè)硬件信息并與之綁定。
之后,用戶使用指紋、面部識(shí)別或設(shè)備密碼鎖等方式解鎖硬件設(shè)備,都將成為默認(rèn)動(dòng)作,用于之后的賬戶登錄,而無需輸入密碼。 實(shí)際上,這種無密碼化的操作我們并不陌生。
例如,微信平臺(tái)的登錄,為了做到賬戶的強(qiáng)安全保障,在電腦端的登錄并不需要輸入密碼,而只能使用手機(jī)確認(rèn)身份登錄。
還有許多APP上經(jīng)常見到的“微信登錄”、“QQ登錄”、“支付寶登錄”,或“本機(jī)號(hào)碼一鍵登錄”,這些登錄方式的實(shí)現(xiàn)過程中也不會(huì)需要輸入密碼,其本質(zhì)上就是無密碼登錄。
科技巨頭推動(dòng)無密碼技術(shù)發(fā)展
回到文章開頭,微軟、谷歌、蘋果推廣的無密碼登錄如何操作?如果全面普及,將達(dá)到什么樣的效果呢?
具體來說,微軟等廠商是在FIDO框架下,允許用戶在多臺(tái)設(shè)備、包括新設(shè)備上自動(dòng)訪問FIDO登錄證書,而不必重新去注冊(cè)每一個(gè)賬戶。
同時(shí),允許用戶在移動(dòng)設(shè)備上使用FIDO認(rèn)證,以通過附近的設(shè)備登錄APP或網(wǎng)站,而無論這些設(shè)備運(yùn)行哪一種操作系統(tǒng)或?yàn)g覽器。
需要提一下的是,F(xiàn)IDO是一個(gè)成立于2012年的行業(yè)協(xié)會(huì),致力于構(gòu)建一套開放的協(xié)議標(biāo)準(zhǔn),用來改變目前主流的密碼驗(yàn)證方式。
加入FIDO的會(huì)員都是大公司,如:Google、BlackBerry、ARM、英特爾、PayPal、Lenovo、MasterCard、三星、VISA、Synaptics、RSA、微軟等。
中國(guó)會(huì)員有阿里巴巴、聯(lián)想、飛天誠(chéng)信、支付寶等等以及中國(guó)臺(tái)灣的神盾股份。
按照FIDO 1.0協(xié)議,目前產(chǎn)生了兩種無密碼認(rèn)證的方式,其一是通用認(rèn)證框架(下文簡(jiǎn)稱為UAF),其二則是通用雙因素認(rèn)證框架(下文簡(jiǎn)稱為U2F)。
UAF就是指紋、語(yǔ)音、虹膜、臉部識(shí)別等生物身份識(shí)別方式,使用的是每個(gè)用戶都獨(dú)一無二的生物特征,來證明“我是我”,并且這一解決方案目前在各領(lǐng)域都已經(jīng)有了大規(guī)模的應(yīng)用。
用過支付寶等軟件的指紋驗(yàn)證都懂,UAF省去了輸入密碼的麻煩。
U2F則是雙因素驗(yàn)證,這一身份認(rèn)證機(jī)制對(duì)于iOS用戶和游戲玩家來說應(yīng)該不會(huì)陌生,指的是在密碼之外,還需要一個(gè)額外的設(shè)備接收實(shí)時(shí)驗(yàn)證碼,例如網(wǎng)銀的U盾、Steam令牌等等“登錄器”。
這樣做的好處是就算密碼被釣魚郵件不小心釣走了,黑客也無法登錄賬號(hào),無法冒充本人。
總的來說,掃一掃登錄、指紋識(shí)別、人臉驗(yàn)證、U盾、NFC芯片、語(yǔ)音識(shí)別、以及之前升級(jí)Windows11時(shí)需要的TPM可信賴平臺(tái)模塊,都是在FIDO的協(xié)議標(biāo)準(zhǔn)里面。
而FIDO推廣的無密碼登錄方式,除了提升用戶體驗(yàn)以及保護(hù)個(gè)人賬戶信息安全外,還能讓服務(wù)提供商提供FIDO憑據(jù),用于賬戶意外丟失后的恢復(fù)。
另外,這種方式也被認(rèn)為對(duì)殘障人士和老年人用戶更為友好。 正因?yàn)槿绱,科技企業(yè)一直在推動(dòng)“去密碼化”商用進(jìn)程。
微軟在2015年就展示了Windows系統(tǒng)如何用臉部識(shí)別技術(shù)登錄電腦,在2018年啟用了安全密鑰并在2019年實(shí)現(xiàn)了Windows 10無密碼化。
2021年,微軟宣布微軟賬戶可以無密碼登錄旗下各類應(yīng)用和服務(wù)賬戶。 谷歌也在極力嘗試將密碼從人們的生活中抹去。2017年谷歌就要求員工使用安全密鑰進(jìn)行賬戶登錄。
2018年,谷歌將這種安全密鑰產(chǎn)品化并推廣至消費(fèi)市場(chǎng),用戶能用這種安全密鑰在個(gè)人智能設(shè)備上進(jìn)行FIDO標(biāo)準(zhǔn)化的兩步身份驗(yàn)證。
2019年,谷歌宣布將這種安全密鑰功能移植于安卓7.0,用戶能用安卓手機(jī)通過藍(lán)牙在其他設(shè)備上進(jìn)行兩步身份驗(yàn)證。
蘋果自從2013年推出iPhone5S的指紋識(shí)別功能后,蘋果的Touch ID作為智能設(shè)備的無密碼典型應(yīng)用被其他公司所借鑒。
2017年,蘋果在手機(jī)產(chǎn)品iPhone×上配備了臉部識(shí)別技術(shù)Face ID,相對(duì)指紋識(shí)別五萬分之一被破解的概率,F(xiàn)ace ID被破解的概率為百萬分之一。
簡(jiǎn)單來說,如果微軟、谷歌、蘋果推廣的無密碼登錄全面普及,用戶真實(shí)面對(duì)的場(chǎng)景可能就是在常規(guī)的登錄界面之外,還會(huì)出現(xiàn)一個(gè)“Apple ID/谷歌賬號(hào)/微軟賬號(hào)”登錄的選項(xiàng),是各大網(wǎng)站或APP將校驗(yàn)用戶身份的權(quán)利給予這三大廠商,并信任這些第三方給出的結(jié)果。
無密碼時(shí)代到來了嗎?
盡管如此,業(yè)內(nèi)也對(duì)無密碼化表示出了一些擔(dān)心。
比如,有FIDO聯(lián)盟成員建議將FIDO授權(quán)存儲(chǔ)在云中,這樣當(dāng)用戶換了一部新手機(jī)或丟失當(dāng)前手機(jī)時(shí),依舊可以無障礙地登錄過往所有賬戶。
但是,這種做法也會(huì)帶來風(fēng)險(xiǎn),如果云平臺(tái)被黑客入侵,那么他們將獲得授權(quán),用戶所有的賬戶信息容易遭到泄露。
因此,業(yè)界也質(zhì)疑FIDO并不是100%安全的解決方案。
不過,在蘋果、谷歌、微軟等科技巨頭看來,自家的服務(wù)器可謂是固若金湯,用于存儲(chǔ)用戶的身份認(rèn)證信息是節(jié)約整個(gè)互聯(lián)網(wǎng)行業(yè)運(yùn)行成本的有力舉措。
事實(shí)上也確實(shí)如此,在目前的賬號(hào)密碼體系下,各個(gè)向用戶提供服務(wù)的網(wǎng)站及APP基本都是自己保存用戶的賬號(hào)密碼到服務(wù)器里,但中小廠商乃至個(gè)人開發(fā)者對(duì)于網(wǎng)絡(luò)安全的投入自然是不如這些大廠的。
對(duì)于中小企業(yè)來說,這些巨頭提供的無密碼登錄可以有效降低用戶的使用門檻,能夠獲取用戶的關(guān)系鏈來提升用戶規(guī)模。 但在此事中,這些科技巨頭得到的或許會(huì)更多。
畢竟中小企業(yè)接入到他們所打造的無密碼體系中,就意味著需要向他們也打開大門,不僅要成為微軟、蘋果、谷歌的認(rèn)證開發(fā)者,還需要交出用戶信息。
更為重要的是,一旦用戶養(yǎng)成了使用無密碼登錄服務(wù)的習(xí)慣,就等于將這些用戶徹底捆綁在了一起,在當(dāng)下這個(gè)流量增長(zhǎng)紅利不再的市場(chǎng)環(huán)境下,無疑成為爭(zhēng)奪用戶的利器。
據(jù)Gartner分析師Ant Allan的研究預(yù)測(cè),到2022年,60%的大型和跨國(guó)企業(yè)以及90%的中型企業(yè),將在超過50%的應(yīng)用場(chǎng)景中實(shí)施無密碼身份認(rèn)證方法,這一比例遠(yuǎn)高于2018年的5%。
全面無密碼登錄的科技時(shí)代或許很快就會(huì)到來,但推動(dòng)無密碼化仍然需要一個(gè)過程。 此外,在技術(shù)層面,即便現(xiàn)在業(yè)界已有FIDO這類技術(shù)標(biāo)準(zhǔn),但主導(dǎo)方仍是美國(guó)的科技巨頭。
若要普及還需要更多企業(yè)參與,整個(gè)產(chǎn)業(yè)在身份識(shí)別標(biāo)準(zhǔn)方面達(dá)成共識(shí)后,共同推進(jìn)無密碼化的進(jìn)程,從而在真正方便用戶的同時(shí)保護(hù)個(gè)人信息和數(shù)據(jù)安全。
【科技云報(bào)道原創(chuàng)】
轉(zhuǎn)載請(qǐng)注明“科技云報(bào)道”并附本文鏈接
原文標(biāo)題 : 密碼又忘了?沒關(guān)系,無密碼時(shí)代要來了!
發(fā)表評(píng)論
請(qǐng)輸入評(píng)論內(nèi)容...
請(qǐng)輸入評(píng)論/評(píng)論長(zhǎng)度6~500個(gè)字
圖片新聞
最新活動(dòng)更多
-
12月19日立即報(bào)名>> 【線下會(huì)議】OFweek 2024(第九屆)物聯(lián)網(wǎng)產(chǎn)業(yè)大會(huì)
-
精彩回顧立即查看>> 2024中國(guó)國(guó)際工業(yè)博覽會(huì)維科網(wǎng)·激光VIP企業(yè)展臺(tái)直播
-
精彩回顧立即查看>> 【產(chǎn)品試用】RSE30/60在線紅外熱像儀免費(fèi)試用
-
精彩回顧立即查看>> 2024(第五屆)全球數(shù)字經(jīng)濟(jì)產(chǎn)業(yè)大會(huì)暨展覽會(huì)
-
精彩回顧立即查看>> 【線下會(huì)議】全數(shù)會(huì)2024電子元器件展覽會(huì)
-
精彩回顧立即查看>> 三菱電機(jī)紅外傳感器的特性以及相關(guān)應(yīng)用領(lǐng)域
編輯推薦
- 高級(jí)軟件工程師 廣東省/深圳市
- 自動(dòng)化高級(jí)工程師 廣東省/深圳市
- 光器件研發(fā)工程師 福建省/福州市
- 銷售總監(jiān)(光器件) 北京市/海淀區(qū)
- 激光器高級(jí)銷售經(jīng)理 上海市/虹口區(qū)
- 光器件物理工程師 北京市/海淀區(qū)
- 激光研發(fā)工程師 北京市/昌平區(qū)
- 技術(shù)專家 廣東省/江門市
- 封裝工程師 北京市/海淀區(qū)
- 結(jié)構(gòu)工程師 廣東省/深圳市