文|雪豹財(cái)經(jīng)社 瀚星

編輯|張漢

總市值超5.39萬(wàn)億美元的全球科技三巨頭，罕見(jiàn)地放下成見(jiàn)、抱作一團(tuán)，將槍口對(duì)準(zhǔn)人類數(shù)字生活的虛擬守門人——密碼。

在5月5日的世界密碼日上，蘋果、微軟、谷歌共同承諾，未來(lái)一年將在它們控制的所有移動(dòng)、桌面和瀏覽器平臺(tái)上建立對(duì)無(wú)密碼登錄的支持，以打造更安全的個(gè)人信息與互聯(lián)網(wǎng)環(huán)境。

這是一次不容小覷的聯(lián)合行動(dòng)。蘋果占據(jù)高端智能手機(jī)市場(chǎng)的六成份額，谷歌開(kāi)發(fā)的安卓系統(tǒng)覆蓋了70%的全球用戶，微軟則是電腦操作系統(tǒng)領(lǐng)域無(wú)可撼動(dòng)的霸主。

三巨頭聯(lián)手，“殺死”密碼勝利在望？

罕見(jiàn)的統(tǒng)一戰(zhàn)線

無(wú)密碼比密碼更安全，聽(tīng)起來(lái)多少有些反常識(shí)。但對(duì)很多人來(lái)說(shuō)，無(wú)密碼這一概念并不新鮮。

在PC端登錄微信，就是一個(gè)簡(jiǎn)單直觀的無(wú)密碼場(chǎng)景：在PC端點(diǎn)開(kāi)微信后，手機(jī)收到確認(rèn)信息，然后通過(guò)手機(jī)認(rèn)證完成登錄。生活中常常用到的指紋解鎖、掃臉支付等，也可以歸為無(wú)密碼技術(shù)范疇。

事實(shí)上，習(xí)慣了自動(dòng)登錄和手機(jī)驗(yàn)證登錄的用戶，恐怕已經(jīng)沒(méi)有多少人還記得自己的微信密碼。在這種情況下，密碼還有存在的必要嗎？

在普通用戶意識(shí)到這個(gè)問(wèn)題之前，蘋果、微軟、谷歌已經(jīng)為構(gòu)建一個(gè)無(wú)密碼的世界探索數(shù)年。

在不久前的蘋果全球開(kāi)發(fā)者大會(huì)（WWDC 2022）上，蘋果公布了一項(xiàng)名為“Passkeys”的新技術(shù)。當(dāng)用戶需要使用某個(gè)網(wǎng)站或應(yīng)用時(shí)，iPhone會(huì)收到請(qǐng)求，用戶可以直接通過(guò)指紋或面容ID在iPhone上進(jìn)行身份驗(yàn)證，從而直接登錄。

這個(gè)過(guò)程并不復(fù)雜，而且有兩個(gè)好處：一是不需要記住密碼，二是整個(gè)過(guò)程在一部iPhone上就可以完成。這意味著，用戶的任何私密信息都不會(huì)被第三方的網(wǎng)絡(luò)服務(wù)器儲(chǔ)存和泄露，安全性大大提升。

正如蘋果互聯(lián)網(wǎng)技術(shù)副總裁Darin Adler所說(shuō)，Passkeys不會(huì)被盜用，因?yàn)樗肋h(yuǎn)不會(huì)離開(kāi)你的設(shè)備。

在蘋果之前，微軟與谷歌也早已在無(wú)密碼領(lǐng)域布局多年。

早在2017年，微軟就嘗試用Microsoft Authenticator讓用戶免密登錄微軟賬戶。2018年，微軟將這一功能升級(jí)并應(yīng)用在Edge瀏覽器和Windows 10系統(tǒng)上。據(jù)微軟官方數(shù)據(jù)，截至2020年5月，每月有1.5億用戶在使用無(wú)密碼登入。

2021年，微軟宣布從當(dāng)年9月15日起，用戶可以完全刪除他們的微軟賬戶密碼，并選擇使用Microsoft Authenticator應(yīng)用、Windows Hello、安全密鑰等方式認(rèn)證登錄設(shè)備。

谷歌則在2019年宣布，在Android 7.0及以上版本中，可調(diào)用指紋或面部識(shí)別等登錄某些支持的網(wǎng)站。

在“殺死”密碼這件事上，三巨頭罕見(jiàn)地達(dá)成了共識(shí)。iOS與Android、Windows與MacOS，這次不再為市場(chǎng)份額大打出手，而是要實(shí)現(xiàn)互聯(lián)互通。

2013年、2015年和2020年，谷歌、微軟、蘋果先后加入FIDO聯(lián)盟。FIDO（Fast Identity Online）聯(lián)盟即線上快速身份驗(yàn)證聯(lián)盟，是一家由PayPal、聯(lián)想等企業(yè)于2012年7月成立的非盈利性行業(yè)協(xié)會(huì)，目前成員已擴(kuò)大至300余家，其中包括ARM、蘋果、三星、亞馬遜、阿里巴巴、華為、Netflix等知名企業(yè)，以及各國(guó)政府的標(biāo)準(zhǔn)制定機(jī)構(gòu)和學(xué)術(shù)團(tuán)體。

它們共同的敵人，是曾在互聯(lián)網(wǎng)歷史上扮演重要角色，但也給人類帶來(lái)巨大困擾和安全風(fēng)險(xiǎn)的密碼。

天下苦密碼久矣

從開(kāi)機(jī)密碼、郵箱密碼到各類網(wǎng)站的登錄密碼，密碼幾乎滲透到了生活的每一個(gè)角落。記住各種復(fù)雜的密碼，則成為人們不得不面對(duì)的一大挑戰(zhàn)。牛津大學(xué)與萬(wàn)事達(dá)卡聯(lián)合進(jìn)行的一項(xiàng)研究發(fā)現(xiàn)，有三分之一在線購(gòu)物中止，是因?yàn)橛脩敉浢艽a。

密碼管理軟件Nordpass給出的安全密碼建議是，至少12位數(shù)，包含大小寫字母、數(shù)字及特殊符號(hào)，并且每90天要至少更換一次。

達(dá)到以上密碼安全建議，且不重復(fù)使用密碼，對(duì)普通用戶來(lái)說(shuō)無(wú)疑是一種負(fù)擔(dān)。

事實(shí)上，多數(shù)人對(duì)于密碼安全不以為意。

據(jù)微軟2016年數(shù)據(jù)，大約20％的互聯(lián)網(wǎng)用戶正在使用重復(fù)密碼，另外27％的用戶使用的密碼與其他帳戶密碼幾乎完全相同。到2018年，仍然有很大一部分互聯(lián)網(wǎng)用戶偏愛(ài)弱密碼，而不是安全密碼。

Nordpass公布的2021年最常用密碼榜單顯示，“123456”出現(xiàn)了超過(guò)1.03億次，只需要不到一秒鐘就能破解。據(jù)FIDO官網(wǎng)數(shù)據(jù)，80%的數(shù)據(jù)泄露是由密碼造成，多達(dá)51%的密碼被重復(fù)使用，而重置一次密碼的平均人力成本是70美元。

一面是多數(shù)密碼形同虛設(shè)，另一面是密碼本身的安全缺陷遠(yuǎn)比人們想象中更大。

據(jù)路透社報(bào)道，2020年6月，世界著名網(wǎng)絡(luò)安全組織Awake Security發(fā)布的一份公開(kāi)報(bào)告指出，谷歌公司旗下的瀏覽器Chrome存在嚴(yán)重漏洞，使上千萬(wàn)用戶的個(gè)人資料遭黑客竊取。經(jīng)統(tǒng)計(jì)，惡意的后臺(tái)程序至少被下載了3200萬(wàn)次，這意味著3200萬(wàn)用戶的密碼很有可能已被黑客竊取。

2014年9月，蘋果的iCloud遭到黑客攻擊，導(dǎo)致密碼泄露，大約200位名人明星的私密照片在互聯(lián)網(wǎng)上傳播。

2018年，由于蘋果在線商城和手機(jī)保險(xiǎn)公司Asurion網(wǎng)站存在的漏洞，造成約7200萬(wàn) T-Mobile運(yùn)營(yíng)商用戶的密碼泄露。

日益嚴(yán)峻的密碼安全問(wèn)題不僅給個(gè)人和企業(yè)帶來(lái)風(fēng)險(xiǎn)，甚至可能威脅國(guó)家安全。

據(jù)中國(guó)網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心發(fā)布的信息，來(lái)自AntiSec組織的攻擊者曾向美國(guó)政府軍方承包商 Booz Allen Hamilton 進(jìn)行攻擊，并發(fā)布9萬(wàn)個(gè)美國(guó)軍方電子郵件地址和密碼，包括美國(guó)中央司令部、特種作戰(zhàn)司令部、海軍陸戰(zhàn)隊(duì)、空軍部隊(duì)以及國(guó)土安全局的賬戶密碼。

天下苦密碼久矣。面對(duì)層出不窮的密碼安全事故與隱患，蘋果、微軟、谷歌亟需將更安全、更高效的無(wú)密碼技術(shù)推向前臺(tái)。

2022年，F(xiàn)IDO聯(lián)盟的技術(shù)革新加速了這一進(jìn)程。

在5月5日的世界密碼日上，三巨頭聯(lián)合宣布擴(kuò)展對(duì)免密碼登錄通用標(biāo)準(zhǔn)的支持， 預(yù)計(jì)在未來(lái)一年內(nèi)解決跨平臺(tái)認(rèn)證的痛點(diǎn)。

與以往不同的點(diǎn)在于，此次FIDO在跨平臺(tái)運(yùn)行上取得了兩個(gè)新的突破。一是允許用戶在多臺(tái)設(shè)備、包括新設(shè)備上自動(dòng)訪問(wèn)FIDO登錄證書(shū)，而不必重新注冊(cè)每個(gè)賬戶；二是允許用戶在移動(dòng)設(shè)備上使用FIDO認(rèn)證，以通過(guò)附近的設(shè)備登錄App和網(wǎng)站，無(wú)論這些設(shè)備運(yùn)行哪種操作系統(tǒng)平臺(tái)或使用哪種瀏覽器。

一個(gè)月后，蘋果率先在WWDC交出了第一份答卷。Passkeys不僅支持蘋果全家桶中的iPhone、iPad、Mac、Apple TV間跨設(shè)備認(rèn)證，同時(shí)用戶也可以用iPhone解鎖FIDO聯(lián)盟中的其他非蘋果產(chǎn)品。

但“殺死”密碼，沒(méi)那么容易。

“殺死”密碼不容易

上世紀(jì)40年代，為破譯德軍密碼，英國(guó)研制出了大型電子運(yùn)算裝置科羅薩斯（Colossus），這是人類歷史上第一臺(tái)可編程的計(jì)算機(jī)。計(jì)算機(jī)因破解密碼而生，并隨后孕育了互聯(lián)網(wǎng)。

80年后，互聯(lián)網(wǎng)誕下的科技巨子們卻要“殺死”密碼，打造一個(gè)更方便、更安全的無(wú)密碼世界。這是一個(gè)無(wú)比艱巨的任務(wù)。

比計(jì)算機(jī)還要年長(zhǎng)的密碼，早已滲透到生活中的各個(gè)角落。“殺死”密碼，不止是技術(shù)升級(jí)，也是改變一種生活習(xí)慣，而這并不容易。正如FIDO聯(lián)盟的執(zhí)行董事、CMO Andrew Shikiar所說(shuō)：“幾乎所有用戶要做的第一件事就是設(shè)置密碼，我們需要做的是打破這種習(xí)慣?！?/p>

2020年，Windows 10的活躍用戶數(shù)量首次突破10億。而當(dāng)年5月微軟公布的每月無(wú)密碼登入使用人數(shù)是1.5億，只有約15%。此時(shí)，距離微軟在Windows 10上推廣無(wú)密碼登錄已經(jīng)過(guò)去近兩年。

除了用戶習(xí)慣難以在短時(shí)間內(nèi)被改變外，橫亙?cè)谌揞^面前的另一座高墻是：若要實(shí)現(xiàn)無(wú)密碼登錄，首先要擁有一部智能手機(jī)。

據(jù)Strategy Analytics統(tǒng)計(jì)，截至2021年，全球有39.5億人用上了智能手機(jī)，普及率約為50%。此外，并非所有智能手機(jī)都能運(yùn)行無(wú)密碼技術(shù)。蘋果即將推出的Passkeys需要更新iOS 16版本才能使用，而iPhone SE 2016、iPhone 7之前的老款手機(jī)均無(wú)法獲取iOS 16的更新。

這意味著，如果在全球范圍內(nèi)推廣無(wú)密碼登錄，現(xiàn)時(shí)將會(huì)有至少一半的人無(wú)法使用。

此外，雖然FIDO聯(lián)盟在跨平臺(tái)應(yīng)用上取得了進(jìn)展，但跨平臺(tái)的密鑰轉(zhuǎn)移依舊是一大痛點(diǎn)。簡(jiǎn)單來(lái)說(shuō)，雖然蘋果手機(jī)可以在FIDO框架下解鎖非蘋果產(chǎn)品，但當(dāng)用戶更換成安卓手機(jī)后，保存在終端上的密鑰也需要批量轉(zhuǎn)移。

專注于報(bào)道蘋果新聞的外媒9to5Mac表示，F(xiàn)IDO目前提供的解決方案，還無(wú)法在不同生態(tài)系統(tǒng)之間批量傳輸密鑰。如果想從Android手機(jī)切換到iPhone（反之亦然），用戶將無(wú)法移動(dòng)所有密鑰。相比之下，密碼則更容易轉(zhuǎn)移。

正如蘋果互聯(lián)網(wǎng)技術(shù)副總裁Darin在WWDC上描述的一樣，脫離密碼的轉(zhuǎn)型是一場(chǎng)旅程。在這場(chǎng)旅行中，不僅需要蘋果、谷歌、微軟，也需要全球的企業(yè)和用戶共同參與其中。

2022年歷史的車輪格外喧囂，iPod、IE瀏覽器、中國(guó)區(qū)Kindle先后被無(wú)情碾過(guò)。如今，密碼也看到了遠(yuǎn)處揚(yáng)起的沙塵。只是這次，科技巨頭“三英戰(zhàn)呂布”，密碼還遠(yuǎn)未見(jiàn)到白門樓。