人們每天都在各種設(shè)備中輸入密碼，但絕大多數(shù)人其實并沒有養(yǎng)成良好的密碼使用習(xí)慣。

在知名密碼管理服務(wù)公司NordPass每年公布的“全球200個最常用密碼榜單”里，其中“123456”的榜首地位常年未能被撼動。

盡管許多人習(xí)慣于使用“123456”是因為這個密碼確實簡單好記，但同時這也帶來了不小的安全風(fēng)險。

既然如此，為什么不將密碼這一古老的事物淘汰呢？

5月5日，也就是在今年的“世界密碼日”上，蘋果、谷歌與微軟聯(lián)合宣布，計劃擴展對FIDO（Fast IDentity Online線上快速身份驗證）聯(lián)盟和萬維網(wǎng)聯(lián)盟（W3C）創(chuàng)建的無密碼登錄標準的支持，為用戶提供更快、更輕松、更安全的登錄過程。

那么，什么是無密碼登錄？無密碼真的安全嗎？

無密碼如何登錄？

傳統(tǒng)的密碼登錄被認為是互聯(lián)網(wǎng)最大的安全問題之一。 微軟的一項研究顯示，幾乎80％的網(wǎng)絡(luò)攻擊都針對密碼，每天有250個企業(yè)賬戶會遭到黑客攻擊。

ITIGIC的數(shù)據(jù)也顯示，少于五個字符組成的密碼基本可以被黑客瞬間破解，而由八個字符、數(shù)字和區(qū)分大小寫的密碼，也只需要一個小時左右就能被破解。

正因為單純由數(shù)字或字母組成的密碼過于脆弱，導(dǎo)致互聯(lián)網(wǎng)平臺對于密碼的要求已經(jīng)變得越來越復(fù)雜。

如今，互聯(lián)網(wǎng)平臺通常會具體到密碼中應(yīng)該包括多個符號、數(shù)字、大小寫字符，并且會禁止使用以前的密碼，這就使得用戶記住和管理密碼變得非常不便。

基于這種現(xiàn)狀，微軟、谷歌、蘋果等科技公司陸續(xù)開始推行無密碼的方式，希望用新的身份驗證方式，來取代現(xiàn)有的賬號密碼體系。

但值得注意的是，無密碼并不等于沒有密碼。

在無密碼模式下，用戶將手機等硬件作為主要驗證設(shè)備，注冊賬戶時系統(tǒng)會檢測硬件信息并與之綁定。

之后，用戶使用指紋、面部識別或設(shè)備密碼鎖等方式解鎖硬件設(shè)備，都將成為默認動作，用于之后的賬戶登錄，而無需輸入密碼。 實際上，這種無密碼化的操作我們并不陌生。

例如，微信平臺的登錄，為了做到賬戶的強安全保障，在電腦端的登錄并不需要輸入密碼，而只能使用手機確認身份登錄。

還有許多APP上經(jīng)常見到的“微信登錄”、“QQ登錄”、“支付寶登錄”，或“本機號碼一鍵登錄”，這些登錄方式的實現(xiàn)過程中也不會需要輸入密碼，其本質(zhì)上就是無密碼登錄。

科技巨頭推動無密碼技術(shù)發(fā)展

回到文章開頭，微軟、谷歌、蘋果推廣的無密碼登錄如何操作？如果全面普及，將達到什么樣的效果呢？

具體來說，微軟等廠商是在FIDO框架下，允許用戶在多臺設(shè)備、包括新設(shè)備上自動訪問FIDO登錄證書，而不必重新去注冊每一個賬戶。

同時，允許用戶在移動設(shè)備上使用FIDO認證，以通過附近的設(shè)備登錄APP或網(wǎng)站，而無論這些設(shè)備運行哪一種操作系統(tǒng)或瀏覽器。

需要提一下的是，F(xiàn)IDO是一個成立于2012年的行業(yè)協(xié)會，致力于構(gòu)建一套開放的協(xié)議標準，用來改變目前主流的密碼驗證方式。

加入FIDO的會員都是大公司，如：Google、BlackBerry、ARM、英特爾、PayPal、Lenovo、MasterCard、三星、VISA、Synaptics、RSA、微軟等。

中國會員有阿里巴巴、聯(lián)想、飛天誠信、支付寶等等以及中國臺灣的神盾股份。

按照FIDO 1．0協(xié)議，目前產(chǎn)生了兩種無密碼認證的方式，其一是通用認證框架（下文簡稱為UAF），其二則是通用雙因素認證框架（下文簡稱為U2F）。

UAF就是指紋、語音、虹膜、臉部識別等生物身份識別方式，使用的是每個用戶都獨一無二的生物特征，來證明“我是我”，并且這一解決方案目前在各領(lǐng)域都已經(jīng)有了大規(guī)模的應(yīng)用。

用過支付寶等軟件的指紋驗證都懂，UAF省去了輸入密碼的麻煩。

U2F則是雙因素驗證，這一身份認證機制對于iOS用戶和游戲玩家來說應(yīng)該不會陌生，指的是在密碼之外，還需要一個額外的設(shè)備接收實時驗證碼，例如網(wǎng)銀的U盾、Steam令牌等等“登錄器”。

這樣做的好處是就算密碼被釣魚郵件不小心釣走了，黑客也無法登錄賬號，無法冒充本人。

總的來說，掃一掃登錄、指紋識別、人臉驗證、U盾、NFC芯片、語音識別、以及之前升級Windows11時需要的TPM可信賴平臺模塊，都是在FIDO的協(xié)議標準里面。

而FIDO推廣的無密碼登錄方式，除了提升用戶體驗以及保護個人賬戶信息安全外，還能讓服務(wù)提供商提供FIDO憑據(jù)，用于賬戶意外丟失后的恢復(fù)。

另外，這種方式也被認為對殘障人士和老年人用戶更為友好。 正因為如此，科技企業(yè)一直在推動“去密碼化”商用進程。

微軟在2015年就展示了Windows系統(tǒng)如何用臉部識別技術(shù)登錄電腦，在2018年啟用了安全密鑰并在2019年實現(xiàn)了Windows 10無密碼化。

2021年，微軟宣布微軟賬戶可以無密碼登錄旗下各類應(yīng)用和服務(wù)賬戶。 谷歌也在極力嘗試將密碼從人們的生活中抹去。2017年谷歌就要求員工使用安全密鑰進行賬戶登錄。

2018年，谷歌將這種安全密鑰產(chǎn)品化并推廣至消費市場，用戶能用這種安全密鑰在個人智能設(shè)備上進行FIDO標準化的兩步身份驗證。

2019年，谷歌宣布將這種安全密鑰功能移植于安卓7．0，用戶能用安卓手機通過藍牙在其他設(shè)備上進行兩步身份驗證。

蘋果自從2013年推出iPhone5S的指紋識別功能后，蘋果的Touch ID作為智能設(shè)備的無密碼典型應(yīng)用被其他公司所借鑒。

2017年，蘋果在手機產(chǎn)品iPhone×上配備了臉部識別技術(shù)Face ID，相對指紋識別五萬分之一被破解的概率，F(xiàn)ace ID被破解的概率為百萬分之一。

簡單來說，如果微軟、谷歌、蘋果推廣的無密碼登錄全面普及，用戶真實面對的場景可能就是在常規(guī)的登錄界面之外，還會出現(xiàn)一個“Apple ID／谷歌賬號／微軟賬號”登錄的選項，是各大網(wǎng)站或APP將校驗用戶身份的權(quán)利給予這三大廠商，并信任這些第三方給出的結(jié)果。

無密碼時代到來了嗎？

盡管如此，業(yè)內(nèi)也對無密碼化表示出了一些擔心。

比如，有FIDO聯(lián)盟成員建議將FIDO授權(quán)存儲在云中，這樣當用戶換了一部新手機或丟失當前手機時，依舊可以無障礙地登錄過往所有賬戶。

但是，這種做法也會帶來風(fēng)險，如果云平臺被黑客入侵，那么他們將獲得授權(quán)，用戶所有的賬戶信息容易遭到泄露。

因此，業(yè)界也質(zhì)疑FIDO并不是100％安全的解決方案。

不過，在蘋果、谷歌、微軟等科技巨頭看來，自家的服務(wù)器可謂是固若金湯，用于存儲用戶的身份認證信息是節(jié)約整個互聯(lián)網(wǎng)行業(yè)運行成本的有力舉措。

事實上也確實如此，在目前的賬號密碼體系下，各個向用戶提供服務(wù)的網(wǎng)站及APP基本都是自己保存用戶的賬號密碼到服務(wù)器里，但中小廠商乃至個人開發(fā)者對于網(wǎng)絡(luò)安全的投入自然是不如這些大廠的。

對于中小企業(yè)來說，這些巨頭提供的無密碼登錄可以有效降低用戶的使用門檻，能夠獲取用戶的關(guān)系鏈來提升用戶規(guī)模。 但在此事中，這些科技巨頭得到的或許會更多。

畢竟中小企業(yè)接入到他們所打造的無密碼體系中，就意味著需要向他們也打開大門，不僅要成為微軟、蘋果、谷歌的認證開發(fā)者，還需要交出用戶信息。

更為重要的是，一旦用戶養(yǎng)成了使用無密碼登錄服務(wù)的習(xí)慣，就等于將這些用戶徹底捆綁在了一起，在當下這個流量增長紅利不再的市場環(huán)境下，無疑成為爭奪用戶的利器。

據(jù)Gartner分析師Ant Allan的研究預(yù)測，到2022年，60％的大型和跨國企業(yè)以及90％的中型企業(yè)，將在超過50％的應(yīng)用場景中實施無密碼身份認證方法，這一比例遠高于2018年的5％。

全面無密碼登錄的科技時代或許很快就會到來，但推動無密碼化仍然需要一個過程。 此外，在技術(shù)層面，即便現(xiàn)在業(yè)界已有FIDO這類技術(shù)標準，但主導(dǎo)方仍是美國的科技巨頭。

若要普及還需要更多企業(yè)參與，整個產(chǎn)業(yè)在身份識別標準方面達成共識后，共同推進無密碼化的進程，從而在真正方便用戶的同時保護個人信息和數(shù)據(jù)安全。

【科技云報道原創(chuàng)】

轉(zhuǎn)載請注明“科技云報道”并附本文鏈接

       原文標題 : 密碼又忘了？沒關(guān)系，無密碼時代要來了！