苹果、微软、谷歌三巨头联手，“杀死”密码

文章来源：Duing

仅做分享转载，如有侵权立即删除

5月5日是世界密码日，但我们与密码却渐行渐远。

最近，苹果、谷歌和微软这三大科技巨头在一项联合计划中宣布，他们将致力于在未来一年，在其控制的所有移动、桌面和浏览器平台上打造无密码登录系统。

苹果产品营销高级总监Kurt Knight表示：“正如我们将产品设计得直观且功能强大一样，我们也将无密码登录设计得私密且安全。”

“与业界合作建立新的、更安全的登录方法，提供更好的保护并消除密码漏洞，这是我们致力于打造提供最高安全性和透明用户体验的产品的核心——所有这些都是为了留住用户的个人信息安全。”

图片源自网络，仅做配文展示

01

FIDO

联盟

FIDO联盟——即“快速在线身份识别”联盟，最近联盟表示，它正在与这三家公司合作，为网站和应用程序提供无密码技术。应用程序和网站可以使用指纹读取器、面部扫描仪甚至手机识别您的身份，而不是使用不甚可靠的密码登录方式。

密码登陆技术始于20世纪60年代，当时多个用户使用一台电脑，需要用账户与密码进行区别。当时盗取密码也不过是恶作剧的一种，也没有什么个人信息可泄露。而现在，得到密码后几乎可以了解一个人的一切，如邮件、网银、网盘等。而且你可以在任何联网的地方得到这些信息。密码的泄露可以造成毁灭性的打击，每年也耗费数十亿美元的维护费。

在2010年，PayPal的安全主管MichaelBarrett、指纹识别安全专家RameshKesanupalli与SSL之父及密码学者TaherElgamal举行会谈。Kesanupalli希望拥有新的指纹识别标准，可以不依靠庞大的数据库来使用识别器；Barrett希望可以用安全简单的方式登陆PayPal，而Elgamal是这些计划最好的实行人。两年后，FIDO联盟成立，旨在帮助公司摆脱密码的束缚。在创立之初，FIDO只有PayPal和5家硬件公司，但随后不断壮大，Google和微软分别于2013年4月和12月加入。

02

无密码

如何登陆？

传统的密码登录被认为是互联网最大的安全问题之一。

微软的一项研究显示，几乎80%的网络攻击都针对密码，每天有250个企业账户会遭到黑客攻击。

ITIGIC的数据也显示，少于五个字符组成的密码基本可以被黑客瞬间破解，而由八个字符、数字和区分大小写的密码，也只需要一个小时左右就能被破解。

正因为单纯由数字或字母组成的密码过于脆弱，导致互联网平台对于密码的要求已经变得越来越复杂。

如今，互联网平台通常会具体到密码中应该包括多个符号、数字、大小写字符，并且会禁止使用以前的密码，这就使得用户记住和管理密码变得非常不便。

基于这种现状，微软、谷歌、苹果等科技公司陆续开始推行无密码的方式，希望用新的身份验证方式，来取代现有的账号密码体系。

但值得注意的是，无密码并不等于没有密码。

在无密码模式下，用户将手机等硬件作为主要验证设备，注册账户时系统会检测硬件信息并与之绑定。

之后，用户使用指纹、面部识别或设备密码锁等方式解锁硬件设备，都将成为默认动作，用于之后的账户登录，而无需输入密码。

实际上，这种无密码化的操作我们并不陌生。

例如，微信平台的登录，为了做到账户的强安全保障，在电脑端的登录并不需要输入密码，而只能使用手机确认身份登录。

还有许多APP上经常见到的“微信登录”、“QQ登录”、“支付宝登录”，或“本机号码一键登录”，这些登录方式的实现过程中也不会需要输入密码，其本质上就是无密码登录。

图片源自网络，仅做配文展示

03

科技巨头

推动无密码革命

曾经，苹果也因为“密码泄露”焦头烂额。

2014年9月，苹果的iCloud遭到黑客攻击，大约200位名人明星的私密照片在互联网上传播，引来众多网友吃瓜。

其中一位黑客使用的方法十分简单，通过广撒网的钓鱼邮件，该黑客轻松获取了受害者的账号与密码，并且由于苹果当时没有设置必要的验证机制，因此他可以直接通过密码就进入这些账号。

这次事件让苹果被推到舆论的风口浪尖，一些受害的名人甚至直接在社交平台上说出“thanksApple”这样嘲讽的话。此后，苹果开始鼓励用户采用双因素认证，该技术通过基于时间、事件和密钥产生的一次性密码来代替传统的静态密码，可以一定程度上避免未经授权的登录行为。

但这种“强加”的两步认证依然可以通过暴力验证、修改IP地址等方式进行破解，并且复杂的操作还被用户起诉干扰了设备的正常使用。不过在没有更好的方案之前，双重认证依然是保护账户安全的有效方法。

微软等厂商是在FIDO框架下，允许用户在多台设备、包括新设备上自动访问FIDO登录证书，而不必重新去注册每一个账户。

同时，允许用户在移动设备上使用FIDO认证，以通过附近的设备登录APP或网站，而无论这些设备运行哪一种操作系统或浏览器。

微软在2015年就展示了Windows系统如何用脸部识别技术登录电脑，在2018年启用了安全密钥并在2019年实现了Windows10无密码化。

2021年，微软宣布微软账户可以无密码登录旗下各类应用和服务账户。

谷歌也在极力尝试将密码从人们的生活中抹去。2017年谷歌就要求员工使用安全密钥进行账户登录。

2018年，谷歌将这种安全密钥产品化并推广至消费市场，用户能用这种安全密钥在个人智能设备上进行FIDO标准化的两步身份验证。

2019年，谷歌宣布将这种安全密钥功能移植于安卓7.0，用户能用安卓手机通过蓝牙在其他设备上进行两步身份验证。

04

无密码时代

即将来临

虽然这些互联网公司推行“无密码登录”本意希望减少数据泄露风险，用户也能从中受益。

但想真正告别纯密码登录体系进入“无密码时代”，还需要一段时间。

首先，目前几家科技巨头推出的方案本质上还是一种“密码保管器”：如何找到一种安全的密钥生成方式，这是科技巨头们下一步的工作重点。

其次，这些方案当前仅仅支持自家生态产品，第三方App仍然需要密码登录，这些软件厂商并不会愿意把安全权限交给这些硬件公司。

最后，跨平台之间的壁垒是否能打破依然是个谜题。FIDO联盟的设想很好，但苹果与谷歌是否真的愿意从系统底层做出改变呢？

或许在行业的推动下，厂商之间也能放弃壁垒，共同推进这一“隐私安全革命”。

关于无密码革命，你怎么看呢？欢迎留言探讨~