文|美通社

全球科技三巨頭罕見地團(tuán)結(jié)起來，要一起干件大事！

在今年的世界密碼日（5月5日），蘋果、谷歌和微軟這三大科技巨頭在一項(xiàng)聯(lián)合計(jì)劃中宣布，他們將致力于在未來一年，在其控制的所有移動、桌面和瀏覽器平臺上打造無密碼登錄系統(tǒng)。

要知道，蘋果和谷歌分別掌握著移動端系統(tǒng)iOS和Android，而微軟的Windows系統(tǒng)也是電腦操作系統(tǒng)領(lǐng)域的霸主。如果這三家企業(yè)準(zhǔn)備統(tǒng)一“殺死”密碼，那將對電子設(shè)備用戶的日常使用產(chǎn)生巨大影響。

密碼是按特定法則編成，用以對通信雙方的信息進(jìn)行明密變換的符號。換言之，密碼是隱蔽了真實(shí)內(nèi)容的符號序列，只有通過特定的變換手段才可讀懂。

密碼是一門科學(xué)，有著悠久的歷史，最早可以追溯到古羅馬時(shí)代，尤利烏斯﹒愷撒通過加密信傳遞戰(zhàn)報(bào)。此后在近代戰(zhàn)爭中，傳遞情報(bào)也離不開密碼。而我們所熟知的“計(jì)算機(jī)之父”阿蘭﹒圖靈就是英國二戰(zhàn)期間的密碼破譯員。密碼本身的神秘性和復(fù)雜性也催生出很多耐人尋味的事件。比如，美國“黃道十二宮殺手”留下的密碼就已成為世界五大頂級密碼之一，吸引眾多密碼學(xué)專家去破解。

在現(xiàn)代化社會，密碼更是滲透到每個(gè)人的日常生活中。使用手機(jī)需要輸入密碼、登陸任何APP需要密碼、購物繳費(fèi)時(shí)需要支付密碼……密碼本應(yīng)該是保護(hù)用戶個(gè)人信息安全的保護(hù)墻，但隨著密碼設(shè)置數(shù)量的增多，搞混密碼、忘記密碼的事情也越來越常見。要知道常年霸占密碼榜單首位的一直是“123456”，可見密碼增多對人們記憶力的挑戰(zhàn)有多大。

而從企業(yè)角度來講，近年來數(shù)據(jù)泄露事件的增加又不得不讓人懷疑密碼的可靠性。

IBM《2022年數(shù)據(jù)泄露成本報(bào)告》

傳統(tǒng)的密碼登錄被認(rèn)為是互聯(lián)網(wǎng)最大的安全問題之一。微軟的一項(xiàng)研究顯示，幾乎80%的網(wǎng)絡(luò)攻擊都針對密碼，每天有250個(gè)企業(yè)賬戶會遭到黑客攻擊。IBM的《2022年數(shù)據(jù)泄露成本報(bào)告》發(fā)現(xiàn)，在全球550家來自不同行業(yè)和地域的組織中，83%的受訪組織已經(jīng)不是第一次發(fā)生數(shù)據(jù)泄露事件。以醫(yī)療健康行業(yè)為例，該行業(yè)的數(shù)據(jù)泄露成本在過去兩年激增了42%，從2020年的713萬美元增長到2022年的1010萬美元。

蘋果、谷歌等也都吃過數(shù)據(jù)泄露的“虧”。2014年9月，蘋果的iCloud遭到黑客攻擊，導(dǎo)致密碼泄露，大約200位名人明星的私密照片在互聯(lián)網(wǎng)上傳播。2020年6月，網(wǎng)絡(luò)安全組織Awake Security公開報(bào)告指出，谷歌公司旗下的瀏覽器Chrome存在嚴(yán)重漏洞，使上千萬用戶的個(gè)人資料遭黑客竊取。

總之，生活在互聯(lián)網(wǎng)時(shí)代的人們“苦密碼久矣”。

那么是否有一種方式可以不用密碼卻能保護(hù)信息不被泄露呢？

其實(shí)，很多科技公司都認(rèn)識到僅依賴密碼認(rèn)證存在漏洞，并開始探索解決方案。比如，短信驗(yàn)證登錄，指紋、面部等生物信息識別，這些驗(yàn)證方式的安全性遠(yuǎn)高于密碼登錄認(rèn)證。

這里就要提到FIDO聯(lián)盟，即Fast Identity Online，快速在線身份識別聯(lián)盟。該聯(lián)盟成立于 2012 年 7 月，旨在通過“一組開放、可擴(kuò)展、可互操作的機(jī)制和更強(qiáng)大、更私密的身份驗(yàn)證標(biāo)準(zhǔn)，來減少對密碼的依賴”。FIDO的標(biāo)準(zhǔn)草案介紹了FIDO認(rèn)證協(xié)議的工作原理。用戶可以使用智能手機(jī)指紋采集器、USB令牌等多種方式登錄，服務(wù)商無需再維護(hù)復(fù)雜且成本高昂的認(rèn)證后臺。

在2015年FIDO聯(lián)盟的成員就包括英特爾、微軟、谷歌、黑莓、ARM、 萬事達(dá)、美國運(yùn)通、三星電子、中國金融認(rèn)證中心、阿里巴巴、聯(lián)想等企業(yè)。我們熟悉的支付寶、京東錢包、翼支付，國外使用的PayPal、NTT等都使用了FIDO聯(lián)盟的相關(guān)技術(shù)。例如，掃一掃登錄、指紋識別、人臉驗(yàn)證、U盾、NFC芯片、語音識別等都是在FIDO的協(xié)議標(biāo)準(zhǔn)里面。而蘋果是在2022年加入FIDO的。

2018年4月，F(xiàn)IDO和萬維網(wǎng)聯(lián)盟(W3C)在基于Web的“強(qiáng)身份認(rèn)證”（Stronger Authentication）上取得重要突破。由FIDO提交的文檔Web Authentication（WebAuthn）正式進(jìn)入W3C候選推薦標(biāo)準(zhǔn)階段。WebAuthn提供了一個(gè)安全的無密碼認(rèn)證標(biāo)準(zhǔn)，通過WebAuthn，Web應(yīng)用開發(fā)者可以輕松調(diào)用FIDO基于生物特征、安全、快速的在線身份認(rèn)證服務(wù)。WebAuthn支持的生物驗(yàn)證方式包括：筆記本電腦的指紋識別和面部識別、安卓設(shè)備的指紋識別。同時(shí)這種身份驗(yàn)證比單純依賴密碼和相關(guān)身份驗(yàn)證方式要強(qiáng)大得多。用戶證書和生物識別模板永遠(yuǎn)不會離開用戶的設(shè)備，也不會存儲在服務(wù)器上；帳戶可以免受網(wǎng)絡(luò)釣魚，中間人攻擊和使用被盜密碼的反復(fù)攻擊。谷歌、微軟以及Mozilla都已承諾在其瀏覽器中支持WebAuthn標(biāo)準(zhǔn)。

2019年，谷歌宣布用戶能用安卓手機(jī)通過藍(lán)牙在其他設(shè)備上進(jìn)行兩步身份驗(yàn)證。

2021年微軟宣布開啟無密碼時(shí)代，用戶若采用 Microsoft Authenticator、Windows Hello 等方式，就可以完全刪除自己微軟賬戶中的密碼。

蘋果在WWDC 2021 上也宣布了新技術(shù)Passkeys，當(dāng)用戶訪問支持這項(xiàng)新技術(shù)的網(wǎng)站時(shí)，用戶將在注冊時(shí)輸入想要的用戶名，然后使用Face ID或Touch ID(而不是密碼)來驗(yàn)證自己。今年，蘋果繼續(xù)將此項(xiàng)技術(shù)完善，用戶無需復(fù)雜的組合密碼，甚至不需要驗(yàn)證碼，僅需一組儲存在設(shè)備端的數(shù)字密鑰即可完成相應(yīng)網(wǎng)站或App的登陸。

在最新公布的計(jì)劃中，F(xiàn)IDO又推出兩項(xiàng)新功能：允許用戶在多臺設(shè)備、包括新設(shè)備上自動訪問 FIDO 登錄證書(密鑰)，不必重新注冊每個(gè)帳戶；允許用戶在移動設(shè)備上使用FIDO認(rèn)證，以通過附近的設(shè)備登錄App或網(wǎng)站，無論這些設(shè)備運(yùn)行哪種OS平臺或?yàn)g覽器。FIDO聯(lián)盟希望加強(qiáng)不同設(shè)備與不同App、系統(tǒng)生態(tài)之間的互聯(lián)。蘋果、谷歌和微軟平臺預(yù)計(jì)，這些新功能將在未來一年內(nèi)陸續(xù)實(shí)行。

雖然目前對于“無密碼”時(shí)代的到來還難以定下時(shí)間線，但隨著三大科技巨頭的行動，可以預(yù)見傳統(tǒng)的密碼認(rèn)證正在和我們越走越遠(yuǎn)。

而另一方面，當(dāng)未來系統(tǒng)設(shè)備無密碼成為主流，想要追上這股“潮流”，符合全球認(rèn)可的“無密碼標(biāo)準(zhǔn)”就成為第一道門檻。都說商場如戰(zhàn)場，在全球商業(yè)戰(zhàn)場上，企業(yè)間的競爭往往是“標(biāo)準(zhǔn)”的競爭。阿里巴巴、聯(lián)想、支付寶等雖然已經(jīng)加入FIDO聯(lián)盟，但在技術(shù)層面主導(dǎo)方仍是美國的科技巨頭。我們也希望看到更多屬于中國企業(yè)的聯(lián)盟，去制定更多全球認(rèn)可的標(biāo)準(zhǔn)。