苹果期待的无密码时代,真能实现吗?

2022-06-09 0 261

保护密码最好的方案,就是放弃密码。

一年前的苹果全球开发者大会(WWDC)上,苹果展示了一种基于“iCloud钥匙串”的无密码登录技术,当用户使用Safari浏览器时,可以直接通过生物识别方式填写保存的密码。

在本周的WWDC上,苹果继续将此项技术完善,并将其命名为“Passkeys”(万能密码)用户无需复杂的组合密码,甚至不需要验证码,仅需一组储存在设备端的数字密钥即可完成相应网站或App的登陆

在本周的WWDC上,苹果继续将此项技术完善,并将其命名为“Passkeys”(万能密码)用户无需复杂的组合密码,甚至不需要验证码,仅需一组储存在设备端的数字密钥即可完成相应网站或App的登陆

苹果期待的无密码时代,真能实现吗?

不单是苹果,其他互联网公司同样也开始在自家设备或平台上尝试“无密码登录”,包括谷歌、微软、雅虎等公司均提出了相应的解决方案,目的就是取代传统的“纯密码登录”。

用业内人士的话来说,纯密码就是“20世纪的遗产”,黑客可能很容易盗取密码;而站在用户的角度来看,绞尽脑汁想出的组合密码经常就会遗忘。

那么这场“无密码”的革命,真的能开启隐私安全的“新时代”吗?

苹果如何实现无密码?

曾经,苹果也因为“密码泄露”焦头烂额。

2014年9月,苹果的iCloud遭到黑客攻击,大约200位名人明星的私密照片在互联网上传播,引来众多网友吃瓜。

其中一位黑客使用的方法十分简单,通过广撒网的钓鱼邮件,该黑客轻松获取了受害者的账号与密码,并且由于苹果当时没有设置必要的验证机制,因此他可以直接通过密码就进入这些账号。

苹果期待的无密码时代,真能实现吗?

这次事件让苹果被推到舆论的风口浪尖,一些受害的名人甚至直接在社交平台上说出“thanks Apple”这样嘲讽的话。此后,苹果开始鼓励用户采用双因素认证,该技术通过基于时间、事件和密钥产生的一次性密码来代替传统的静态密码,可以一定程度上避免未经授权的登录行为。

但这种“强加”的两步认证依然可以通过暴力验证、修改IP地址等方式进行破解,并且复杂的操作还被用户起诉干扰了设备的正常使用。不过在没有更好的方案之前,双重认证依然是保护账户安全的有效方法

苹果期待的无密码时代,真能实现吗?

既然任何输入方式都存在被破解的风险,苹果干脆选择了押注生物识别方案。无论是过去基于指纹的Touch ID还是当下最主流的Face ID,这种不需要频繁输入密码的登录方式使得登陆iCloud等苹果旗下的软件更加方便,同时更加安全。

事实上,最早的Touch ID只能用于屏幕解锁。但之后随着iOS 8的发布、Apple Pay的面世,以及苹果Touch Id API的开放,Apple Pay逐渐与Touch ID的结合,成为第三方支付的手段之一,同时让Touch ID也成了保护密码的重要手段

到了Face ID时代,得益于深感摄像头和3D结构光技术,认证方法则更为安全。

苹果期待的无密码时代,真能实现吗?

但和双重认证一样,即使已经做到了绝对安全,但Face ID同样无法取代密码问题。

首先用户仍然需要使用密码才能登录Apple ID、iCloud等功能。其次作为重要的一点,并不是所有的第三方生态都支持Face ID登录,如果用户尝试跨平台(例如安卓、Windows)或者跨设备(例如Mac系列产品),仍然需要密码登陆。

或许这就是苹果希望推行“无密码技术”的原因。

FIDO联盟的“无密码愿望”

开头也提到,不单是苹果,许多互联网公司也在推行无密码登陆,而这些公司背后都牵连到一家名为FIDO(Fast IDentity Online,线上快速身份验证)的技术联盟。也正是在今年5月8日的“世界密码日”上,苹果、微软、谷歌三家科技巨头表示,他们将“在未来一年内”开始推出基于FIDO标准的技术。

FIDO标准究竟为何物?

简单来说,和苹果推行无密码的思路并无二异,即“生物认证框架”与“双因素认证标准”,但除这两点以外,FIDO联盟还强调不同设备与不同App、系统生态之间的互联

苹果期待的无密码时代,真能实现吗?

换句话说,在FIDO联盟的规范下,不同厂商之间的硬件设备与软件只需一套加密方法即可实现登录。

FIDO将这种加密方法称之为“私钥-公钥”,私钥在设备端,而上传到服务器里的则为公钥(账号)。这个私钥可以是指纹,也可以是面部信息,或者单纯就是一个硬件设备。

总之,原先的密码已经被私钥取代。

苹果期待的无密码时代,真能实现吗?

我们以Passkeys为例,识别私钥的方式便是支持Touch ID或是Face ID的设备,先是通过公钥加密验证登录网站和应用程序的用户身份,随即向手机发送认证请求验证私钥,两步都完成验证后即可完成登录。

虽然目前Passkeys功能仍需要iCloud钥匙串的支持,但未来完全可以用随机的密钥取代。

微软和谷歌的方案与苹果也类似,他们分别推出各自的Authenticator验证器App,当在不同的设备上登录账号时,用户只需要在App上进行批准即可通过验证。

不过和iCloud钥匙串一样,目前这些Authenticator验证器还停留在“密码填充”的阶段,App的功能只是相当于“密码保险箱”,只不过降低了输入密码时泄露的风险

除了解决密码输入的问题,FIDO联盟更希望解决多设备和跨平台的限制。

根据FIDO白皮书的描述,未来将允许用户通过一个现有设备作为硬件令牌,无论iOS、安卓,还是Windows,都可以进行互通:“我们希望认证器供应商在他们的认证器实现中做出这一改变。”

或许在FIDO的设想里,为了无论iOS还是安卓,只需一台设备都能相互解锁。

苹果期待的无密码时代,真能实现吗?

无密码时代”真的能实现吗?

FIDO联盟在其官网显示,密码泄露是超过80%数据泄露的根本原因,更是有高达51%的密码被重复使用。

另据美国审查平台GoodFirms在2021年的一则报告中提出,45.7%的受访者表示他们会在多个站点或者应用程序使用重复的密码,52.9%的受访者与同事、朋友、家人分享他们的密码,同时有30%的受访者表示因为密码薄弱而经历过安全漏洞。

不仅用户成了密码泄露的受害者,厂商同时也为如何保护隐私密码安全而犯难。

因此这些互联网公司推行“无密码登录”本意希望减少数据泄露风险,用户也能从中受益。

苹果期待的无密码时代,真能实现吗?

但想真正告别纯密码登录体系进入“无密码时代”,还需要一段时间。

首先,目前几家科技巨头推出的方案本质上还是一种“密码保管器”:如何找到一种安全的密钥生成方式,这是科技巨头们下一步的工作重点。

其次,这些方案当前仅仅支持自家生态产品,第三方App仍然需要密码登录,这些软件厂商并不会愿意把安全权限交给这些硬件公司。

最后,跨平台之间的壁垒是否能打破依然是个谜题。FIDO联盟的设想很好,但苹果与谷歌是否真的愿意从系统底层做出改变呢?

值得一提的是,此前苹果一直拒绝甚至排斥FIDO联盟所推行的摆脱密码的计划,当时苹果认为自己拥有足够的精力来保证用户账户的使用安全。但在一次又一次安全问题事件之后,苹果终于选择妥协,并在iOS中添加了兼容FIDO规范的安全密钥。

或许在行业的推动下,厂商之间也能放弃壁垒,共同推进这一“隐私安全革命”。

收藏 (0) 打赏

感谢您的支持,我们会继续努力的!

打开支付宝/微信/QQ扫一扫,即可进行扫码打赏哦,分享从这里开始,精彩与您同在
点赞 (0)

1. 本站所有教学内容和资源均来源于本站原创和网络收集以及用户自主上传,如有侵权请带证联系本站客服进行处理!邮箱:team@lcwl.fun
2. 对于非本站原创的资源不保证所提供下载资源的准确性、安全性和完整性,资源仅供下载学习之用!如有链接无法下载、失效或广告,请联系本站客服处理,有奖励!
3. 除本站原创教学或资源外其余资源您必须在下载后的24个小时之内,从您的电脑中彻底删除上述内容资源!如用于商业或者非法用途,与本站无关,一切后果请用户自负!
4. 本站原创资源如需商用还请申请商业授权,否则本站有权追究其法律责任!
5. 如果您也有好的资源或教程,您可以投稿发布,成功分享后有学币奖励额外收入!

凌晨资源网 IT资讯 苹果期待的无密码时代,真能实现吗? https://www.lingchenw.cn/zixun/1898.html

常见问题
  • 本站所有付费教程均可单独付费或者开会员学习,自己购买或者开了会员就可以学习,来凌晨学院报名学习送会员,并且有讲师一对一辅导培训教学,师生互动化,定期布置作业等
查看详情
  • 本站所有资源版权均属于原作者所有,资源中标注可商用的可以商用的代表是本团队自主研发公布可商用的产品,未标注可商用所提供资源均只能用于参考学习用,请勿直接商用。若由于商用引起版权纠纷,一切责任均由使用者承担。
查看详情

相关文章

发表评论
暂无评论
官方客服团队

为您解决烦忧 - 24小时在线 专业服务

学习手机编程软件开发
手机编程软件开发

你知道吗?用手机也能开发制作软件,满足自己的编程心,做属于自己的软件

报名学习
自媒体短视频
副业做自媒体短视频

想做自媒体短视频剪辑给自己多一份副业,只需一部手机你也可以

报名学习
搭建网站必备云互联主机
链未云互联

搭建网站,后台云服务等必备云服务器互联主机,IDC云主机

现在使用
Fa快捷助手
用手点一点就能开发做软件

不用记编程语法,不用一行一行手敲代码,用手点一点就能开发制作软件

点击下载