昨日,蘋果、谷歌和微軟這三大科技巨頭在一項聯(lián)合計劃中宣布,他們將致力于在未來一年,在其控制的所有移動、桌面和瀏覽器平臺上打造無密碼登錄系統(tǒng)。
這意味著在不遠的將來,所有的主流設備平臺都將使用無密碼驗證方式,包括Android和iOS移動操作系統(tǒng);Chrome、Edge和Safari瀏覽器;Windows和macOS桌面系統(tǒng)。
“我們在把產(chǎn)品設計的更加簡單易用、功能完善的同時,也在提高它們的私密性和安全性?!碧O果平臺產(chǎn)品營銷高級總監(jiān)科特·奈特(Kurt Knight)說,“與整個行業(yè)共同打造更加安全的新登錄方式,為用戶提供更好的保護,并消除密碼的弱點,這是我們提供最安全透明用戶體驗的核心。這一切的目標都是保障用戶個人信息的安全。”
谷歌周四在官方博客中解釋道,無密碼登錄可以讓用戶將手機作為主要驗證設備,從而使用應用、網(wǎng)站和其他數(shù)字服務。無論用什么方式解鎖手機(包括PIN碼、繪制圖形和指紋),都將成為默認動作,可以在今后用于登錄網(wǎng)絡服務,而無需輸入密碼。這樣就能使用手機與電腦間共享的“秘鑰”(passkey)來實現(xiàn)解鎖。
這種將登錄信息與物理設備綁定的方式可以同時提高易用性和安全性。取消密碼后,用戶無需記憶復雜登錄信息,也不會因為在多項服務之間設置相同密碼而降低安全性。而且,由于登錄過程需要物理設備的協(xié)助,所以無密碼系統(tǒng)也比傳統(tǒng)的密碼更加難以遠程破解。從來理論上講,將用戶騙至虛假網(wǎng)站騙取密碼的釣魚攻擊將更加難以實現(xiàn)。
微軟安全、合規(guī)、身份和隱私副總裁瓦蘇·賈卡爾(Vasu Jakkal)強調了不同平臺之間的兼容程度。“只要將秘鑰存儲在移動設備上,無論設備使用的平臺和瀏覽器是什么,都可以在幾乎任何設備上登錄一款應用或服務?!彼陔娮余]件聲明中說,“例如,用戶可以使用蘋果設備上的秘鑰,在運行微軟Windows的設備上登錄谷歌Chrome瀏覽器?!?/p>
這種跨平臺功能都得益于一套名為FIDO的標準,它使用公鑰加密原則支持許多環(huán)境下的無密碼驗證和多因素驗證。一個用戶的手機可以存儲一個獨一無二的FIDO兼容秘鑰,并且只有在手機解鎖的情況下才能用于驗證網(wǎng)站登錄信息。根據(jù)谷歌的博客,秘鑰也可以通過云端備份輕松同步到新的設備,以防手機丟失。
盡管許多熱門應用已經(jīng)支持FIDO驗證,但還是需要首先輸入密碼才能配置FIDO,所以用戶依然容易受到釣魚攻擊。
但谷歌安全認證產(chǎn)品管理總監(jiān)兼FIDO聯(lián)盟主席桑帕斯·斯里尼瓦斯(Sampath Srinivas)表示,這種新的機制已經(jīng)不再需要首先輸入密碼。
“今天宣布的這個經(jīng)過擴展的FIDO支持技術,使網(wǎng)站首次可以部署端到端無密碼體驗,具備抵抗釣魚攻擊的安全功能?!彼f,“這既包括首次登錄,也包括重復登錄。當整個行業(yè)在2022和2023年全面支持秘鑰后,我們最終就可以擁有完全沒有密碼的互聯(lián)網(wǎng)平臺。”
目前為止,蘋果、谷歌和微軟都表示,新的登錄功能預計將于明年部署到他們旗下的平臺,但具體的路線圖尚未宣布。盡管取消密碼一事已經(jīng)謀劃多年,但這一次可能真的要夢想成真了。
原創(chuàng)文章,作者:若安丶,如若轉載,請注明出處:http://2079x.cn/article/553237.html