蘋(píng)果期待的“無(wú)密碼時(shí)代”，真能實(shí)現嗎？

保護密碼最好的方案，就是放棄密碼。

一年前的蘋(píng)果全球開(kāi)發(fā)者大會(huì )（WWDC）上，蘋(píng)果展示了一種基于“iCloud鑰匙串”的無(wú)密碼登錄技術(shù)，當用戶(hù)使用Safari瀏覽器時(shí)，可以直接通過(guò)生物識別方式填寫(xiě)保存的密碼。

在本周的WWDC上，蘋(píng)果繼續將此項技術(shù)完善，并將其命名為“Passkeys”（萬(wàn)能密碼）：用戶(hù)無(wú)需復雜的組合密碼，甚至不需要驗證碼，僅需一組儲存在設備端的數字密鑰即可完成相應網(wǎng)站或App的登陸。

不單是蘋(píng)果，其他互聯(lián)網(wǎng)公司同樣也開(kāi)始在自家設備或平臺上嘗試“無(wú)密碼登錄”，包括谷歌、微軟、雅虎等公司均提出了相應的解決方案，目的就是取代傳統的“純密碼登錄”。

用業(yè)內人士的話(huà)來(lái)說(shuō)，純密碼就是“20世紀的遺產(chǎn)”，黑客可能很容易盜取密碼；而站在用戶(hù)的角度來(lái)看，絞盡腦汁想出的組合密碼經(jīng)常就會(huì )遺忘。

那么這場(chǎng)“無(wú)密碼”的革命，真的能開(kāi)啟隱私安全的“新時(shí)代”嗎？

蘋(píng)果如何實(shí)現無(wú)密碼？

曾經(jīng)，蘋(píng)果也因為“密碼泄露”焦頭爛額。

2014年9月，蘋(píng)果的iCloud遭到黑客攻擊，大約200位名人明星的私密照片在互聯(lián)網(wǎng)上傳播，引來(lái)眾多網(wǎng)友吃瓜。

其中一位黑客使用的方法十分簡(jiǎn)單，通過(guò)廣撒網(wǎng)的釣魚(yú)郵件，該黑客輕松獲取了受害者的賬號與密碼，并且由于蘋(píng)果當時(shí)沒(méi)有設置必要的驗證機制，因此他可以直接通過(guò)密碼就進(jìn)入這些賬號。

這次事件讓蘋(píng)果被推到輿論的風(fēng)口浪尖，一些受害的名人甚至直接在社交平臺上說(shuō)出“thanks Apple”這樣嘲諷的話(huà)。此后，蘋(píng)果開(kāi)始鼓勵用戶(hù)采用雙因素認證，該技術(shù)通過(guò)基于時(shí)間、事件和密鑰產(chǎn)生的一次性密碼來(lái)代替傳統的靜態(tài)密碼，可以一定程度上避免未經(jīng)授權的登錄行為。

但這種“強加”的兩步認證依然可以通過(guò)暴力驗證、修改IP地址等方式進(jìn)行破解，并且復雜的操作還被用戶(hù)起訴干擾了設備的正常使用。不過(guò)在沒(méi)有更好的方案之前，雙重認證依然是保護賬戶(hù)安全的有效方法。

既然任何輸入方式都存在被破解的風(fēng)險，蘋(píng)果干脆選擇了押注生物識別方案。無(wú)論是過(guò)去基于指紋的Touch ID還是當下最主流的Face ID，這種不需要頻繁輸入密碼的登錄方式使得登陸iCloud等蘋(píng)果旗下的軟件更加方便，同時(shí)更加安全。

事實(shí)上，最早的Touch ID只能用于屏幕解鎖。但之后隨著(zhù)iOS 8的發(fā)布、Apple Pay的面世，以及蘋(píng)果Touch Id API的開(kāi)放，Apple Pay逐漸與Touch ID的結合，成為第三方支付的手段之一，同時(shí)讓Touch ID也成了保護密碼的重要手段。

到了Face ID時(shí)代，得益于深感攝像頭和3D結構光技術(shù)，認證方法則更為安全。

但和雙重認證一樣，即使已經(jīng)做到了絕對安全，但Face ID同樣無(wú)法取代密碼問(wèn)題。

首先用戶(hù)仍然需要使用密碼才能登錄Apple ID、iCloud等功能。其次作為重要的一點(diǎn)，并不是所有的第三方生態(tài)都支持Face ID登錄，如果用戶(hù)嘗試跨平臺（例如安卓、Windows）或者跨設備（例如Mac系列產(chǎn)品），仍然需要密碼登陸。

或許這就是蘋(píng)果希望推行“無(wú)密碼技術(shù)”的原因。

FIDO聯(lián)盟的“無(wú)密碼愿望”

開(kāi)頭也提到，不單是蘋(píng)果，許多互聯(lián)網(wǎng)公司也在推行無(wú)密碼登陸，而這些公司背后都牽連到一家名為FIDO（Fast IDentity Online，線(xiàn)上快速身份驗證）的技術(shù)聯(lián)盟。也正是在今年5月8日的“世界密碼日”上，蘋(píng)果、微軟、谷歌三家科技巨頭表示，他們將“在未來(lái)一年內”開(kāi)始推出基于FIDO標準的技術(shù)。

FIDO標準究竟為何物？

簡(jiǎn)單來(lái)說(shuō)，和蘋(píng)果推行無(wú)密碼的思路并無(wú)二異，即“生物認證框架”與“雙因素認證標準”，但除這兩點(diǎn)以外，FIDO聯(lián)盟還強調不同設備與不同App、系統生態(tài)之間的互聯(lián)。

換句話(huà)說(shuō)，在FIDO聯(lián)盟的規范下，不同廠(chǎng)商之間的硬件設備與軟件只需一套加密方法即可實(shí)現登錄。

FIDO將這種加密方法稱(chēng)之為“私鑰-公鑰”，私鑰在設備端，而上傳到服務(wù)器里的則為公鑰（賬號）。這個(gè)私鑰可以是指紋，也可以是面部信息，或者單純就是一個(gè)硬件設備。

總之，原先的密碼已經(jīng)被私鑰取代。

我們以Passkeys為例，識別私鑰的方式便是支持Touch ID或是Face ID的設備，先是通過(guò)公鑰加密驗證登錄網(wǎng)站和應用程序的用戶(hù)身份，隨即向手機發(fā)送認證請求驗證私鑰，兩步都完成驗證后即可完成登錄。

雖然目前Passkeys功能仍需要iCloud鑰匙串的支持，但未來(lái)完全可以用隨機的密鑰取代。

微軟和谷歌的方案與蘋(píng)果也類(lèi)似，他們分別推出各自的Authenticator驗證器App，當在不同的設備上登錄賬號時(shí)，用戶(hù)只需要在A(yíng)pp上進(jìn)行批準即可通過(guò)驗證。

不過(guò)和iCloud鑰匙串一樣，目前這些Authenticator驗證器還停留在“密碼填充”的階段，App的功能只是相當于“密碼保險箱”，只不過(guò)降低了輸入密碼時(shí)泄露的風(fēng)險。

除了解決密碼輸入的問(wèn)題，FIDO聯(lián)盟更希望解決多設備和跨平臺的限制。

根據FIDO白皮書(shū)的描述，未來(lái)將允許用戶(hù)通過(guò)一個(gè)現有設備作為硬件令牌，無(wú)論iOS、安卓，還是Windows，都可以進(jìn)行互通：“我們希望認證器供應商在他們的認證器實(shí)現中做出這一改變。”

或許在FIDO的設想里，為了無(wú)論iOS還是安卓，只需一臺設備都能相互解鎖。

“無(wú)密碼時(shí)代”真的能實(shí)現嗎？

FIDO聯(lián)盟在其官網(wǎng)顯示，密碼泄露是超過(guò)80%數據泄露的根本原因，更是有高達51%的密碼被重復使用。

另?yè)绹鴮彶槠脚_GoodFirms在2021年的一則報告中提出，45.7%的受訪(fǎng)者表示他們會(huì )在多個(gè)站點(diǎn)或者應用程序使用重復的密碼，52.9%的受訪(fǎng)者與同事、朋友、家人分享他們的密碼，同時(shí)有30%的受訪(fǎng)者表示因為密碼薄弱而經(jīng)歷過(guò)安全漏洞。

不僅用戶(hù)成了密碼泄露的受害者，廠(chǎng)商同時(shí)也為如何保護隱私密碼安全而犯難。

因此這些互聯(lián)網(wǎng)公司推行“無(wú)密碼登錄”本意希望減少數據泄露風(fēng)險，用戶(hù)也能從中受益。

但想真正告別純密碼登錄體系進(jìn)入“無(wú)密碼時(shí)代”，還需要一段時(shí)間。

首先，目前幾家科技巨頭推出的方案本質(zhì)上還是一種“密碼保管器”：如何找到一種安全的密鑰生成方式，這是科技巨頭們下一步的工作重點(diǎn)。

其次，這些方案當前僅僅支持自家生態(tài)產(chǎn)品，第三方App仍然需要密碼登錄，這些軟件廠(chǎng)商并不會(huì )愿意把安全權限交給這些硬件公司。

最后，跨平臺之間的壁壘是否能打破依然是個(gè)謎題。FIDO聯(lián)盟的設想很好，但蘋(píng)果與谷歌是否真的愿意從系統底層做出改變呢？

值得一提的是，此前蘋(píng)果一直拒絕甚至排斥FIDO聯(lián)盟所推行的擺脫密碼的計劃，當時(shí)蘋(píng)果認為自己擁有足夠的精力來(lái)保證用戶(hù)賬戶(hù)的使用安全。但在一次又一次安全問(wèn)題事件之后，蘋(píng)果終于選擇妥協(xié)，并在iOS中添加了兼容FIDO規范的安全密鑰。

或許在行業(yè)的推動(dòng)下，廠(chǎng)商之間也能放棄壁壘，共同推進(jìn)這一“隱私安全革命”。

最后，記得關(guān)注微信公眾號：鎂客網(wǎng)（im2maker），更多干貨在等你！