文|美通社

全球科技三巨頭罕見地團結(jié)起來，要一起干件大事！

在今年的世界密碼日（5月5日），蘋果、谷歌和微軟這三大科技巨頭在一項聯(lián)合計劃中宣布，他們將致力于在未來一年，在其控制的所有移動、桌面和瀏覽器平臺上打造無密碼登錄系統(tǒng)。

要知道，蘋果和谷歌分別掌握著移動端系統(tǒng)iOS和Android，而微軟的Windows系統(tǒng)也是電腦操作系統(tǒng)領(lǐng)域的霸主。如果這三家企業(yè)準備統(tǒng)一“殺死”密碼，那將對電子設(shè)備用戶的日常使用產(chǎn)生巨大影響。

密碼是按特定法則編成，用以對通信雙方的信息進行明密變換的符號。換言之，密碼是隱蔽了真實內(nèi)容的符號序列，只有通過特定的變換手段才可讀懂。

密碼是一門科學(xué)，有著悠久的歷史，最早可以追溯到古羅馬時代，尤利烏斯﹒愷撒通過加密信傳遞戰(zhàn)報。此后在近代戰(zhàn)爭中，傳遞情報也離不開密碼。而我們所熟知的“計算機之父”阿蘭﹒圖靈就是英國二戰(zhàn)期間的密碼破譯員。密碼本身的神秘性和復(fù)雜性也催生出很多耐人尋味的事件。比如，美國“黃道十二宮殺手”留下的密碼就已成為世界五大頂級密碼之一，吸引眾多密碼學(xué)專家去破解。

在現(xiàn)代化社會，密碼更是滲透到每個人的日常生活中。使用手機需要輸入密碼、登陸任何APP需要密碼、購物繳費時需要支付密碼……密碼本應(yīng)該是保護用戶個人信息安全的保護墻，但隨著密碼設(shè)置數(shù)量的增多，搞混密碼、忘記密碼的事情也越來越常見。要知道常年霸占密碼榜單首位的一直是“123456”，可見密碼增多對人們記憶力的挑戰(zhàn)有多大。

而從企業(yè)角度來講，近年來數(shù)據(jù)泄露事件的增加又不得不讓人懷疑密碼的可靠性。

IBM《2022年數(shù)據(jù)泄露成本報告》

傳統(tǒng)的密碼登錄被認為是互聯(lián)網(wǎng)最大的安全問題之一。微軟的一項研究顯示，幾乎80%的網(wǎng)絡(luò)攻擊都針對密碼，每天有250個企業(yè)賬戶會遭到黑客攻擊。IBM的《2022年數(shù)據(jù)泄露成本報告》發(fā)現(xiàn)，在全球550家來自不同行業(yè)和地域的組織中，83%的受訪組織已經(jīng)不是第一次發(fā)生數(shù)據(jù)泄露事件。以醫(yī)療健康行業(yè)為例，該行業(yè)的數(shù)據(jù)泄露成本在過去兩年激增了42%，從2020年的713萬美元增長到2022年的1010萬美元。

蘋果、谷歌等也都吃過數(shù)據(jù)泄露的“虧”。2014年9月，蘋果的iCloud遭到黑客攻擊，導(dǎo)致密碼泄露，大約200位名人明星的私密照片在互聯(lián)網(wǎng)上傳播。2020年6月，網(wǎng)絡(luò)安全組織Awake Security公開報告指出，谷歌公司旗下的瀏覽器Chrome存在嚴重漏洞，使上千萬用戶的個人資料遭黑客竊取。

總之，生活在互聯(lián)網(wǎng)時代的人們“苦密碼久矣”。

那么是否有一種方式可以不用密碼卻能保護信息不被泄露呢？

其實，很多科技公司都認識到僅依賴密碼認證存在漏洞，并開始探索解決方案。比如，短信驗證登錄，指紋、面部等生物信息識別，這些驗證方式的安全性遠高于密碼登錄認證。

這里就要提到FIDO聯(lián)盟，即Fast Identity Online，快速在線身份識別聯(lián)盟。該聯(lián)盟成立于 2012 年 7 月，旨在通過“一組開放、可擴展、可互操作的機制和更強大、更私密的身份驗證標準，來減少對密碼的依賴”。FIDO的標準草案介紹了FIDO認證協(xié)議的工作原理。用戶可以使用智能手機指紋采集器、USB令牌等多種方式登錄，服務(wù)商無需再維護復(fù)雜且成本高昂的認證后臺。

在2015年FIDO聯(lián)盟的成員就包括英特爾、微軟、谷歌、黑莓、ARM、 萬事達、美國運通、三星電子、中國金融認證中心、阿里巴巴、聯(lián)想等企業(yè)。我們熟悉的支付寶、京東錢包、翼支付，國外使用的PayPal、NTT等都使用了FIDO聯(lián)盟的相關(guān)技術(shù)。例如，掃一掃登錄、指紋識別、人臉驗證、U盾、NFC芯片、語音識別等都是在FIDO的協(xié)議標準里面。而蘋果是在2022年加入FIDO的。

2018年4月，F(xiàn)IDO和萬維網(wǎng)聯(lián)盟(W3C)在基于Web的“強身份認證”（Stronger Authentication）上取得重要突破。由FIDO提交的文檔Web Authentication（WebAuthn）正式進入W3C候選推薦標準階段。WebAuthn提供了一個安全的無密碼認證標準，通過WebAuthn，Web應(yīng)用開發(fā)者可以輕松調(diào)用FIDO基于生物特征、安全、快速的在線身份認證服務(wù)。WebAuthn支持的生物驗證方式包括：筆記本電腦的指紋識別和面部識別、安卓設(shè)備的指紋識別。同時這種身份驗證比單純依賴密碼和相關(guān)身份驗證方式要強大得多。用戶證書和生物識別模板永遠不會離開用戶的設(shè)備，也不會存儲在服務(wù)器上；帳戶可以免受網(wǎng)絡(luò)釣魚，中間人攻擊和使用被盜密碼的反復(fù)攻擊。谷歌、微軟以及Mozilla都已承諾在其瀏覽器中支持WebAuthn標準。

2019年，谷歌宣布用戶能用安卓手機通過藍牙在其他設(shè)備上進行兩步身份驗證。

2021年微軟宣布開啟無密碼時代，用戶若采用 Microsoft Authenticator、Windows Hello 等方式，就可以完全刪除自己微軟賬戶中的密碼。

蘋果在WWDC 2021 上也宣布了新技術(shù)Passkeys，當用戶訪問支持這項新技術(shù)的網(wǎng)站時，用戶將在注冊時輸入想要的用戶名，然后使用Face ID或Touch ID(而不是密碼)來驗證自己。今年，蘋果繼續(xù)將此項技術(shù)完善，用戶無需復(fù)雜的組合密碼，甚至不需要驗證碼，僅需一組儲存在設(shè)備端的數(shù)字密鑰即可完成相應(yīng)網(wǎng)站或App的登陸。

在最新公布的計劃中，F(xiàn)IDO又推出兩項新功能：允許用戶在多臺設(shè)備、包括新設(shè)備上自動訪問 FIDO 登錄證書(密鑰)，不必重新注冊每個帳戶；允許用戶在移動設(shè)備上使用FIDO認證，以通過附近的設(shè)備登錄App或網(wǎng)站，無論這些設(shè)備運行哪種OS平臺或瀏覽器。FIDO聯(lián)盟希望加強不同設(shè)備與不同App、系統(tǒng)生態(tài)之間的互聯(lián)。蘋果、谷歌和微軟平臺預(yù)計，這些新功能將在未來一年內(nèi)陸續(xù)實行。

雖然目前對于“無密碼”時代的到來還難以定下時間線，但隨著三大科技巨頭的行動，可以預(yù)見傳統(tǒng)的密碼認證正在和我們越走越遠。

而另一方面，當未來系統(tǒng)設(shè)備無密碼成為主流，想要追上這股“潮流”，符合全球認可的“無密碼標準”就成為第一道門檻。都說商場如戰(zhàn)場，在全球商業(yè)戰(zhàn)場上，企業(yè)間的競爭往往是“標準”的競爭。阿里巴巴、聯(lián)想、支付寶等雖然已經(jīng)加入FIDO聯(lián)盟，但在技術(shù)層面主導(dǎo)方仍是美國的科技巨頭。我們也希望看到更多屬于中國企業(yè)的聯(lián)盟，去制定更多全球認可的標準。