人們每天都在各種設(shè)備中輸入密碼，但絕大多數(shù)人其實(shí)并沒有養(yǎng)成良好的密碼使用習(xí)慣。

在知名密碼管理服務(wù)公司NordPass每年公布的“全球200個(gè)最常用密碼榜單”里，其中“123456”的榜首地位常年未能被撼動(dòng)。

盡管許多人習(xí)慣于使用“123456”是因?yàn)檫@個(gè)密碼確實(shí)簡(jiǎn)單好記，但同時(shí)這也帶來了不小的安全風(fēng)險(xiǎn)。

既然如此，為什么不將密碼這一古老的事物淘汰呢？

5月5日，也就是在今年的“世界密碼日”上，蘋果、谷歌與微軟聯(lián)合宣布，計(jì)劃擴(kuò)展對(duì)FIDO（Fast IDentity Online線上快速身份驗(yàn)證）聯(lián)盟和萬維網(wǎng)聯(lián)盟（W3C）創(chuàng)建的無密碼登錄標(biāo)準(zhǔn)的支持，為用戶提供更快、更輕松、更安全的登錄過程。

那么，什么是無密碼登錄？無密碼真的安全嗎？

無密碼如何登錄？

傳統(tǒng)的密碼登錄被認(rèn)為是互聯(lián)網(wǎng)最大的安全問題之一。 微軟的一項(xiàng)研究顯示，幾乎80％的網(wǎng)絡(luò)攻擊都針對(duì)密碼，每天有250個(gè)企業(yè)賬戶會(huì)遭到黑客攻擊。

ITIGIC的數(shù)據(jù)也顯示，少于五個(gè)字符組成的密碼基本可以被黑客瞬間破解，而由八個(gè)字符、數(shù)字和區(qū)分大小寫的密碼，也只需要一個(gè)小時(shí)左右就能被破解。

正因?yàn)閱渭冇蓴?shù)字或字母組成的密碼過于脆弱，導(dǎo)致互聯(lián)網(wǎng)平臺(tái)對(duì)于密碼的要求已經(jīng)變得越來越復(fù)雜。

如今，互聯(lián)網(wǎng)平臺(tái)通常會(huì)具體到密碼中應(yīng)該包括多個(gè)符號(hào)、數(shù)字、大小寫字符，并且會(huì)禁止使用以前的密碼，這就使得用戶記住和管理密碼變得非常不便。

基于這種現(xiàn)狀，微軟、谷歌、蘋果等科技公司陸續(xù)開始推行無密碼的方式，希望用新的身份驗(yàn)證方式，來取代現(xiàn)有的賬號(hào)密碼體系。

但值得注意的是，無密碼并不等于沒有密碼。

在無密碼模式下，用戶將手機(jī)等硬件作為主要驗(yàn)證設(shè)備，注冊(cè)賬戶時(shí)系統(tǒng)會(huì)檢測(cè)硬件信息并與之綁定。

之后，用戶使用指紋、面部識(shí)別或設(shè)備密碼鎖等方式解鎖硬件設(shè)備，都將成為默認(rèn)動(dòng)作，用于之后的賬戶登錄，而無需輸入密碼。 實(shí)際上，這種無密碼化的操作我們并不陌生。

例如，微信平臺(tái)的登錄，為了做到賬戶的強(qiáng)安全保障，在電腦端的登錄并不需要輸入密碼，而只能使用手機(jī)確認(rèn)身份登錄。

還有許多APP上經(jīng)常見到的“微信登錄”、“QQ登錄”、“支付寶登錄”，或“本機(jī)號(hào)碼一鍵登錄”，這些登錄方式的實(shí)現(xiàn)過程中也不會(huì)需要輸入密碼，其本質(zhì)上就是無密碼登錄。

科技巨頭推動(dòng)無密碼技術(shù)發(fā)展

回到文章開頭，微軟、谷歌、蘋果推廣的無密碼登錄如何操作？如果全面普及，將達(dá)到什么樣的效果呢？

具體來說，微軟等廠商是在FIDO框架下，允許用戶在多臺(tái)設(shè)備、包括新設(shè)備上自動(dòng)訪問FIDO登錄證書，而不必重新去注冊(cè)每一個(gè)賬戶。

同時(shí)，允許用戶在移動(dòng)設(shè)備上使用FIDO認(rèn)證，以通過附近的設(shè)備登錄APP或網(wǎng)站，而無論這些設(shè)備運(yùn)行哪一種操作系統(tǒng)或?yàn)g覽器。

需要提一下的是，F(xiàn)IDO是一個(gè)成立于2012年的行業(yè)協(xié)會(huì)，致力于構(gòu)建一套開放的協(xié)議標(biāo)準(zhǔn)，用來改變目前主流的密碼驗(yàn)證方式。

加入FIDO的會(huì)員都是大公司，如：Google、BlackBerry、ARM、英特爾、PayPal、Lenovo、MasterCard、三星、VISA、Synaptics、RSA、微軟等。

中國(guó)會(huì)員有阿里巴巴、聯(lián)想、飛天誠(chéng)信、支付寶等等以及中國(guó)臺(tái)灣的神盾股份。

按照FIDO 1．0協(xié)議，目前產(chǎn)生了兩種無密碼認(rèn)證的方式，其一是通用認(rèn)證框架（下文簡(jiǎn)稱為UAF），其二則是通用雙因素認(rèn)證框架（下文簡(jiǎn)稱為U2F）。

UAF就是指紋、語(yǔ)音、虹膜、臉部識(shí)別等生物身份識(shí)別方式，使用的是每個(gè)用戶都獨(dú)一無二的生物特征，來證明“我是我”，并且這一解決方案目前在各領(lǐng)域都已經(jīng)有了大規(guī)模的應(yīng)用。

用過支付寶等軟件的指紋驗(yàn)證都懂，UAF省去了輸入密碼的麻煩。

U2F則是雙因素驗(yàn)證，這一身份認(rèn)證機(jī)制對(duì)于iOS用戶和游戲玩家來說應(yīng)該不會(huì)陌生，指的是在密碼之外，還需要一個(gè)額外的設(shè)備接收實(shí)時(shí)驗(yàn)證碼，例如網(wǎng)銀的U盾、Steam令牌等等“登錄器”。

這樣做的好處是就算密碼被釣魚郵件不小心釣走了，黑客也無法登錄賬號(hào)，無法冒充本人。

總的來說，掃一掃登錄、指紋識(shí)別、人臉驗(yàn)證、U盾、NFC芯片、語(yǔ)音識(shí)別、以及之前升級(jí)Windows11時(shí)需要的TPM可信賴平臺(tái)模塊，都是在FIDO的協(xié)議標(biāo)準(zhǔn)里面。

而FIDO推廣的無密碼登錄方式，除了提升用戶體驗(yàn)以及保護(hù)個(gè)人賬戶信息安全外，還能讓服務(wù)提供商提供FIDO憑據(jù)，用于賬戶意外丟失后的恢復(fù)。

另外，這種方式也被認(rèn)為對(duì)殘障人士和老年人用戶更為友好。 正因?yàn)槿绱�，科技企業(yè)一直在推動(dòng)“去密碼化”商用進(jìn)程。

微軟在2015年就展示了Windows系統(tǒng)如何用臉部識(shí)別技術(shù)登錄電腦，在2018年啟用了安全密鑰并在2019年實(shí)現(xiàn)了Windows 10無密碼化。

2021年，微軟宣布微軟賬戶可以無密碼登錄旗下各類應(yīng)用和服務(wù)賬戶。 谷歌也在極力嘗試將密碼從人們的生活中抹去。2017年谷歌就要求員工使用安全密鑰進(jìn)行賬戶登錄。

2018年，谷歌將這種安全密鑰產(chǎn)品化并推廣至消費(fèi)市場(chǎng)，用戶能用這種安全密鑰在個(gè)人智能設(shè)備上進(jìn)行FIDO標(biāo)準(zhǔn)化的兩步身份驗(yàn)證。

2019年，谷歌宣布將這種安全密鑰功能移植于安卓7．0，用戶能用安卓手機(jī)通過藍(lán)牙在其他設(shè)備上進(jìn)行兩步身份驗(yàn)證。

蘋果自從2013年推出iPhone5S的指紋識(shí)別功能后，蘋果的Touch ID作為智能設(shè)備的無密碼典型應(yīng)用被其他公司所借鑒。

2017年，蘋果在手機(jī)產(chǎn)品iPhone×上配備了臉部識(shí)別技術(shù)Face ID，相對(duì)指紋識(shí)別五萬分之一被破解的概率，F(xiàn)ace ID被破解的概率為百萬分之一。

簡(jiǎn)單來說，如果微軟、谷歌、蘋果推廣的無密碼登錄全面普及，用戶真實(shí)面對(duì)的場(chǎng)景可能就是在常規(guī)的登錄界面之外，還會(huì)出現(xiàn)一個(gè)“Apple ID／谷歌賬號(hào)／微軟賬號(hào)”登錄的選項(xiàng)，是各大網(wǎng)站或APP將校驗(yàn)用戶身份的權(quán)利給予這三大廠商，并信任這些第三方給出的結(jié)果。

無密碼時(shí)代到來了嗎？

盡管如此，業(yè)內(nèi)也對(duì)無密碼化表示出了一些擔(dān)心。

比如，有FIDO聯(lián)盟成員建議將FIDO授權(quán)存儲(chǔ)在云中，這樣當(dāng)用戶換了一部新手機(jī)或丟失當(dāng)前手機(jī)時(shí)，依舊可以無障礙地登錄過往所有賬戶。

但是，這種做法也會(huì)帶來風(fēng)險(xiǎn)，如果云平臺(tái)被黑客入侵，那么他們將獲得授權(quán)，用戶所有的賬戶信息容易遭到泄露。

因此，業(yè)界也質(zhì)疑FIDO并不是100％安全的解決方案。

不過，在蘋果、谷歌、微軟等科技巨頭看來，自家的服務(wù)器可謂是固若金湯，用于存儲(chǔ)用戶的身份認(rèn)證信息是節(jié)約整個(gè)互聯(lián)網(wǎng)行業(yè)運(yùn)行成本的有力舉措。

事實(shí)上也確實(shí)如此，在目前的賬號(hào)密碼體系下，各個(gè)向用戶提供服務(wù)的網(wǎng)站及APP基本都是自己保存用戶的賬號(hào)密碼到服務(wù)器里，但中小廠商乃至個(gè)人開發(fā)者對(duì)于網(wǎng)絡(luò)安全的投入自然是不如這些大廠的。

對(duì)于中小企業(yè)來說，這些巨頭提供的無密碼登錄可以有效降低用戶的使用門檻，能夠獲取用戶的關(guān)系鏈來提升用戶規(guī)模。 但在此事中，這些科技巨頭得到的或許會(huì)更多。

畢竟中小企業(yè)接入到他們所打造的無密碼體系中，就意味著需要向他們也打開大門，不僅要成為微軟、蘋果、谷歌的認(rèn)證開發(fā)者，還需要交出用戶信息。

更為重要的是，一旦用戶養(yǎng)成了使用無密碼登錄服務(wù)的習(xí)慣，就等于將這些用戶徹底捆綁在了一起，在當(dāng)下這個(gè)流量增長(zhǎng)紅利不再的市場(chǎng)環(huán)境下，無疑成為爭(zhēng)奪用戶的利器。

據(jù)Gartner分析師Ant Allan的研究預(yù)測(cè)，到2022年，60％的大型和跨國(guó)企業(yè)以及90％的中型企業(yè)，將在超過50％的應(yīng)用場(chǎng)景中實(shí)施無密碼身份認(rèn)證方法，這一比例遠(yuǎn)高于2018年的5％。

全面無密碼登錄的科技時(shí)代或許很快就會(huì)到來，但推動(dòng)無密碼化仍然需要一個(gè)過程。 此外，在技術(shù)層面，即便現(xiàn)在業(yè)界已有FIDO這類技術(shù)標(biāo)準(zhǔn)，但主導(dǎo)方仍是美國(guó)的科技巨頭。

若要普及還需要更多企業(yè)參與，整個(gè)產(chǎn)業(yè)在身份識(shí)別標(biāo)準(zhǔn)方面達(dá)成共識(shí)后，共同推進(jìn)無密碼化的進(jìn)程，從而在真正方便用戶的同時(shí)保護(hù)個(gè)人信息和數(shù)據(jù)安全。

【科技云報(bào)道原創(chuàng)】

轉(zhuǎn)載請(qǐng)注明“科技云報(bào)道”并附本文鏈接

       原文標(biāo)題 : 密碼又忘了？沒關(guān)系，無密碼時(shí)代要來了！