糟糕,忘記密碼了!這或許是多數人在登錄網(wǎng)站和APP時(shí)最害怕遇到的情況之一,但這種情況或成為歷史。近日,FIDO(線(xiàn)上快速身份驗證)聯(lián)盟在其官網(wǎng)上宣布,蘋(píng)果、谷歌和微軟聯(lián)合擴展該聯(lián)盟創(chuàng )建的通用無(wú)密碼登錄標準,允許網(wǎng)站和應用程序跨設備和平臺向消費者提供無(wú)密碼登錄服務(wù)。
現在,人們的生活和工作都離不開(kāi)網(wǎng)絡(luò )。為了保證用戶(hù)賬戶(hù)的安全,密碼設置也日趨復雜,這讓用戶(hù)面臨著(zhù)同時(shí)管理多個(gè)平臺密碼的煩惱。為了方便用戶(hù)使用互聯(lián)網(wǎng)服務(wù),科技企業(yè)也在不斷探索方便的賬戶(hù)登錄方式,無(wú)密碼化成為他們選擇的一條路徑。FIDO聯(lián)盟就是一個(gè)推進(jìn)無(wú)密碼化的組織,旨在解決強身份驗證技術(shù)之間缺乏互操作性和用戶(hù)在創(chuàng )建和記住多個(gè)用戶(hù)名和密碼時(shí)面臨的問(wèn)題。
同時(shí),傳統的密碼登錄被認為是互聯(lián)網(wǎng)最大的安全問(wèn)題之一。為了記住大量賬戶(hù)的密碼,不少用戶(hù)會(huì )重復使用相同的密碼,這種做法可能導致數據泄露、身份被盜等后果。微軟的一項研究顯示,幾乎80%的網(wǎng)絡(luò )攻擊都針對密碼,每天有250個(gè)企業(yè)賬戶(hù)會(huì )遭到黑客攻擊。ITIGIC的數據也顯示,少于五個(gè)字符組成的密碼基本可以被黑客瞬間破解,而由八個(gè)字符、數字和區分大小寫(xiě)的密碼,也只需要一個(gè)小時(shí)左右就能被破解。
需要注意的是,無(wú)密碼化并不是真的沒(méi)有密碼。在這種模式下,用戶(hù)將手機等硬件作為主要驗證設備,注冊賬戶(hù)時(shí)系統會(huì )檢測硬件信息并與之綁定。之后,用戶(hù)使用指紋、面部識別或設備密碼鎖等方式解鎖硬件設備,都將成為默認動(dòng)作,用于之后的賬戶(hù)登錄,而無(wú)需輸入密碼。
實(shí)際上,這種無(wú)密碼化的操作我們并不陌生。微信平臺的登錄就是一個(gè)例子,微信為了做到賬戶(hù)的強安全保障,在電腦端的登錄并不需要輸入密碼,而只能使用手機確認身份登錄。
除了提升用戶(hù)體驗以及保護個(gè)人賬戶(hù)信息安全外,這種方法還能讓服務(wù)提供商提供FIDO憑據,用于賬戶(hù)意外丟失后的恢復。另外,這種方式也被認為對殘障人士和老年人用戶(hù)更為友好。
正因為如此,科技企業(yè)一直在推動(dòng)“去密碼化”商用進(jìn)程。微軟在2015年就展示了Windows系統如何用臉部識別技術(shù)登錄電腦,在2018年啟用了安全密鑰并在2019年實(shí)現了Windows 10無(wú)密碼化。2021年,微軟宣布微軟賬戶(hù)可以無(wú)密碼登錄旗下各類(lèi)應用和服務(wù)賬戶(hù)。
谷歌也在極力嘗試將密碼從人們的生活中抹去。2017年谷歌就要求員工使用安全密鑰進(jìn)行賬戶(hù)登錄。2018年,谷歌將這種安全密鑰產(chǎn)品化并推廣至消費市場(chǎng),用戶(hù)能用這種安全密鑰在個(gè)人智能設備上進(jìn)行FIDO標準化的兩步身份驗證。2019年,谷歌宣布將這種安全密鑰功能移植于安卓7.0,用戶(hù)能用安卓手機通過(guò)藍牙在其他設備上進(jìn)行兩步身份驗證。
盡管如此,業(yè)內也對這種無(wú)密碼化表示出了一些擔心。比如,有FIDO聯(lián)盟成員建議將FIDO授權存儲在云中,這樣當用戶(hù)換了一部新手機或丟失當前手機時(shí),依舊可以無(wú)障礙地登錄過(guò)往所有賬戶(hù)。但是,這種做法也會(huì )帶來(lái)風(fēng)險,如果云平臺被黑客入侵,那么他們將獲得授權,用戶(hù)所有的賬戶(hù)信息容易遭到泄露。因此,業(yè)界也質(zhì)疑FIDO并不是100%安全的解決方案。
同時(shí),推動(dòng)無(wú)密碼化需要一個(gè)過(guò)程。由于使用密碼是用戶(hù)根深蒂固的思想和長(cháng)期習慣的做法,因此,短時(shí)間改變用戶(hù)行為并不是一件容易的事。在技術(shù)層面,即便現在業(yè)界已有FIDO這類(lèi)技術(shù)標準,但主導方仍是美國的科技巨頭,若要普及還需要更多企業(yè)參與,整個(gè)產(chǎn)業(yè)在身份識別標準方面達成共識后,共同推進(jìn)無(wú)密碼化的進(jìn)程,從而在真正方便用戶(hù)的同時(shí)保護個(gè)人信息和數據安全。