文|雪豹財(cái)經(jīng)社 瀚星
編輯|張漢
總市值超5.39萬(wàn)億美元的全球科技三巨頭,罕見(jiàn)地放下成見(jiàn)、抱作一團(tuán),將槍口對(duì)準(zhǔn)人類(lèi)數(shù)字生活的虛擬守門(mén)人——密碼。
在5月5日的世界密碼日上,蘋(píng)果、微軟、谷歌共同承諾,未來(lái)一年將在它們控制的所有移動(dòng)、桌面和瀏覽器平臺(tái)上建立對(duì)無(wú)密碼登錄的支持,以打造更安全的個(gè)人信息與互聯(lián)網(wǎng)環(huán)境。
這是一次不容小覷的聯(lián)合行動(dòng)。蘋(píng)果占據(jù)高端智能手機(jī)市場(chǎng)的六成份額,谷歌開(kāi)發(fā)的安卓系統(tǒng)覆蓋了70%的全球用戶(hù),微軟則是電腦操作系統(tǒng)領(lǐng)域無(wú)可撼動(dòng)的霸主。
三巨頭聯(lián)手,“殺死”密碼勝利在望?
罕見(jiàn)的統(tǒng)一戰(zhàn)線(xiàn)
無(wú)密碼比密碼更安全,聽(tīng)起來(lái)多少有些反常識(shí)。但對(duì)很多人來(lái)說(shuō),無(wú)密碼這一概念并不新鮮。
在PC端登錄微信,就是一個(gè)簡(jiǎn)單直觀的無(wú)密碼場(chǎng)景:在PC端點(diǎn)開(kāi)微信后,手機(jī)收到確認(rèn)信息,然后通過(guò)手機(jī)認(rèn)證完成登錄。生活中常常用到的指紋解鎖、掃臉支付等,也可以歸為無(wú)密碼技術(shù)范疇。
事實(shí)上,習(xí)慣了自動(dòng)登錄和手機(jī)驗(yàn)證登錄的用戶(hù),恐怕已經(jīng)沒(méi)有多少人還記得自己的微信密碼。在這種情況下,密碼還有存在的必要嗎?
在普通用戶(hù)意識(shí)到這個(gè)問(wèn)題之前,蘋(píng)果、微軟、谷歌已經(jīng)為構(gòu)建一個(gè)無(wú)密碼的世界探索數(shù)年。
在不久前的蘋(píng)果全球開(kāi)發(fā)者大會(huì)(WWDC 2022)上,蘋(píng)果公布了一項(xiàng)名為“Passkeys”的新技術(shù)。當(dāng)用戶(hù)需要使用某個(gè)網(wǎng)站或應(yīng)用時(shí),iPhone會(huì)收到請(qǐng)求,用戶(hù)可以直接通過(guò)指紋或面容ID在iPhone上進(jìn)行身份驗(yàn)證,從而直接登錄。
這個(gè)過(guò)程并不復(fù)雜,而且有兩個(gè)好處:一是不需要記住密碼,二是整個(gè)過(guò)程在一部iPhone上就可以完成。這意味著,用戶(hù)的任何私密信息都不會(huì)被第三方的網(wǎng)絡(luò)服務(wù)器儲(chǔ)存和泄露,安全性大大提升。
正如蘋(píng)果互聯(lián)網(wǎng)技術(shù)副總裁Darin Adler所說(shuō),Passkeys不會(huì)被盜用,因?yàn)樗肋h(yuǎn)不會(huì)離開(kāi)你的設(shè)備。
在蘋(píng)果之前,微軟與谷歌也早已在無(wú)密碼領(lǐng)域布局多年。
早在2017年,微軟就嘗試用Microsoft Authenticator讓用戶(hù)免密登錄微軟賬戶(hù)。2018年,微軟將這一功能升級(jí)并應(yīng)用在Edge瀏覽器和Windows 10系統(tǒng)上。據(jù)微軟官方數(shù)據(jù),截至2020年5月,每月有1.5億用戶(hù)在使用無(wú)密碼登入。
2021年,微軟宣布從當(dāng)年9月15日起,用戶(hù)可以完全刪除他們的微軟賬戶(hù)密碼,并選擇使用Microsoft Authenticator應(yīng)用、Windows Hello、安全密鑰等方式認(rèn)證登錄設(shè)備。
谷歌則在2019年宣布,在Android 7.0及以上版本中,可調(diào)用指紋或面部識(shí)別等登錄某些支持的網(wǎng)站。
在“殺死”密碼這件事上,三巨頭罕見(jiàn)地達(dá)成了共識(shí)。iOS與Android、Windows與MacOS,這次不再為市場(chǎng)份額大打出手,而是要實(shí)現(xiàn)互聯(lián)互通。
2013年、2015年和2020年,谷歌、微軟、蘋(píng)果先后加入FIDO聯(lián)盟。FIDO(Fast Identity Online)聯(lián)盟即線(xiàn)上快速身份驗(yàn)證聯(lián)盟,是一家由PayPal、聯(lián)想等企業(yè)于2012年7月成立的非盈利性行業(yè)協(xié)會(huì),目前成員已擴(kuò)大至300余家,其中包括ARM、蘋(píng)果、三星、亞馬遜、阿里巴巴、華為、Netflix等知名企業(yè),以及各國(guó)政府的標(biāo)準(zhǔn)制定機(jī)構(gòu)和學(xué)術(shù)團(tuán)體。
它們共同的敵人,是曾在互聯(lián)網(wǎng)歷史上扮演重要角色,但也給人類(lèi)帶來(lái)巨大困擾和安全風(fēng)險(xiǎn)的密碼。
天下苦密碼久矣
從開(kāi)機(jī)密碼、郵箱密碼到各類(lèi)網(wǎng)站的登錄密碼,密碼幾乎滲透到了生活的每一個(gè)角落。記住各種復(fù)雜的密碼,則成為人們不得不面對(duì)的一大挑戰(zhàn)。牛津大學(xué)與萬(wàn)事達(dá)卡聯(lián)合進(jìn)行的一項(xiàng)研究發(fā)現(xiàn),有三分之一在線(xiàn)購(gòu)物中止,是因?yàn)橛脩?hù)忘記密碼。
密碼管理軟件Nordpass給出的安全密碼建議是,至少12位數(shù),包含大小寫(xiě)字母、數(shù)字及特殊符號(hào),并且每90天要至少更換一次。
達(dá)到以上密碼安全建議,且不重復(fù)使用密碼,對(duì)普通用戶(hù)來(lái)說(shuō)無(wú)疑是一種負(fù)擔(dān)。
事實(shí)上,多數(shù)人對(duì)于密碼安全不以為意。
據(jù)微軟2016年數(shù)據(jù),大約20%的互聯(lián)網(wǎng)用戶(hù)正在使用重復(fù)密碼,另外27%的用戶(hù)使用的密碼與其他帳戶(hù)密碼幾乎完全相同。到2018年,仍然有很大一部分互聯(lián)網(wǎng)用戶(hù)偏愛(ài)弱密碼,而不是安全密碼。
Nordpass公布的2021年最常用密碼榜單顯示,“123456”出現(xiàn)了超過(guò)1.03億次,只需要不到一秒鐘就能破解。據(jù)FIDO官網(wǎng)數(shù)據(jù),80%的數(shù)據(jù)泄露是由密碼造成,多達(dá)51%的密碼被重復(fù)使用,而重置一次密碼的平均人力成本是70美元。
一面是多數(shù)密碼形同虛設(shè),另一面是密碼本身的安全缺陷遠(yuǎn)比人們想象中更大。
據(jù)路透社報(bào)道,2020年6月,世界著名網(wǎng)絡(luò)安全組織Awake Security發(fā)布的一份公開(kāi)報(bào)告指出,谷歌公司旗下的瀏覽器Chrome存在嚴(yán)重漏洞,使上千萬(wàn)用戶(hù)的個(gè)人資料遭黑客竊取。經(jīng)統(tǒng)計(jì),惡意的后臺(tái)程序至少被下載了3200萬(wàn)次,這意味著3200萬(wàn)用戶(hù)的密碼很有可能已被黑客竊取。
2014年9月,蘋(píng)果的iCloud遭到黑客攻擊,導(dǎo)致密碼泄露,大約200位名人明星的私密照片在互聯(lián)網(wǎng)上傳播。
2018年,由于蘋(píng)果在線(xiàn)商城和手機(jī)保險(xiǎn)公司Asurion網(wǎng)站存在的漏洞,造成約7200萬(wàn) T-Mobile運(yùn)營(yíng)商用戶(hù)的密碼泄露。
日益嚴(yán)峻的密碼安全問(wèn)題不僅給個(gè)人和企業(yè)帶來(lái)風(fēng)險(xiǎn),甚至可能威脅國(guó)家安全。
據(jù)中國(guó)網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心發(fā)布的信息,來(lái)自AntiSec組織的攻擊者曾向美國(guó)政府軍方承包商 Booz Allen Hamilton 進(jìn)行攻擊,并發(fā)布9萬(wàn)個(gè)美國(guó)軍方電子郵件地址和密碼,包括美國(guó)中央司令部、特種作戰(zhàn)司令部、海軍陸戰(zhàn)隊(duì)、空軍部隊(duì)以及國(guó)土安全局的賬戶(hù)密碼。
天下苦密碼久矣。面對(duì)層出不窮的密碼安全事故與隱患,蘋(píng)果、微軟、谷歌亟需將更安全、更高效的無(wú)密碼技術(shù)推向前臺(tái)。
2022年,F(xiàn)IDO聯(lián)盟的技術(shù)革新加速了這一進(jìn)程。
在5月5日的世界密碼日上,三巨頭聯(lián)合宣布擴(kuò)展對(duì)免密碼登錄通用標(biāo)準(zhǔn)的支持, 預(yù)計(jì)在未來(lái)一年內(nèi)解決跨平臺(tái)認(rèn)證的痛點(diǎn)。
與以往不同的點(diǎn)在于,此次FIDO在跨平臺(tái)運(yùn)行上取得了兩個(gè)新的突破。一是允許用戶(hù)在多臺(tái)設(shè)備、包括新設(shè)備上自動(dòng)訪(fǎng)問(wèn)FIDO登錄證書(shū),而不必重新注冊(cè)每個(gè)賬戶(hù);二是允許用戶(hù)在移動(dòng)設(shè)備上使用FIDO認(rèn)證,以通過(guò)附近的設(shè)備登錄App和網(wǎng)站,無(wú)論這些設(shè)備運(yùn)行哪種操作系統(tǒng)平臺(tái)或使用哪種瀏覽器。
一個(gè)月后,蘋(píng)果率先在WWDC交出了第一份答卷。Passkeys不僅支持蘋(píng)果全家桶中的iPhone、iPad、Mac、Apple TV間跨設(shè)備認(rèn)證,同時(shí)用戶(hù)也可以用iPhone解鎖FIDO聯(lián)盟中的其他非蘋(píng)果產(chǎn)品。
但“殺死”密碼,沒(méi)那么容易。
“殺死”密碼不容易
上世紀(jì)40年代,為破譯德軍密碼,英國(guó)研制出了大型電子運(yùn)算裝置科羅薩斯(Colossus),這是人類(lèi)歷史上第一臺(tái)可編程的計(jì)算機(jī)。計(jì)算機(jī)因破解密碼而生,并隨后孕育了互聯(lián)網(wǎng)。
80年后,互聯(lián)網(wǎng)誕下的科技巨子們卻要“殺死”密碼,打造一個(gè)更方便、更安全的無(wú)密碼世界。這是一個(gè)無(wú)比艱巨的任務(wù)。
比計(jì)算機(jī)還要年長(zhǎng)的密碼,早已滲透到生活中的各個(gè)角落?!皻⑺馈泵艽a,不止是技術(shù)升級(jí),也是改變一種生活習(xí)慣,而這并不容易。正如FIDO聯(lián)盟的執(zhí)行董事、CMO Andrew Shikiar所說(shuō):“幾乎所有用戶(hù)要做的第一件事就是設(shè)置密碼,我們需要做的是打破這種習(xí)慣。”
2020年,Windows 10的活躍用戶(hù)數(shù)量首次突破10億。而當(dāng)年5月微軟公布的每月無(wú)密碼登入使用人數(shù)是1.5億,只有約15%。此時(shí),距離微軟在Windows 10上推廣無(wú)密碼登錄已經(jīng)過(guò)去近兩年。
除了用戶(hù)習(xí)慣難以在短時(shí)間內(nèi)被改變外,橫亙?cè)谌揞^面前的另一座高墻是:若要實(shí)現(xiàn)無(wú)密碼登錄,首先要擁有一部智能手機(jī)。
據(jù)Strategy Analytics統(tǒng)計(jì),截至2021年,全球有39.5億人用上了智能手機(jī),普及率約為50%。此外,并非所有智能手機(jī)都能運(yùn)行無(wú)密碼技術(shù)。蘋(píng)果即將推出的Passkeys需要更新iOS 16版本才能使用,而iPhone SE 2016、iPhone 7之前的老款手機(jī)均無(wú)法獲取iOS 16的更新。
這意味著,如果在全球范圍內(nèi)推廣無(wú)密碼登錄,現(xiàn)時(shí)將會(huì)有至少一半的人無(wú)法使用。
此外,雖然FIDO聯(lián)盟在跨平臺(tái)應(yīng)用上取得了進(jìn)展,但跨平臺(tái)的密鑰轉(zhuǎn)移依舊是一大痛點(diǎn)。簡(jiǎn)單來(lái)說(shuō),雖然蘋(píng)果手機(jī)可以在FIDO框架下解鎖非蘋(píng)果產(chǎn)品,但當(dāng)用戶(hù)更換成安卓手機(jī)后,保存在終端上的密鑰也需要批量轉(zhuǎn)移。
專(zhuān)注于報(bào)道蘋(píng)果新聞的外媒9to5Mac表示,F(xiàn)IDO目前提供的解決方案,還無(wú)法在不同生態(tài)系統(tǒng)之間批量傳輸密鑰。如果想從Android手機(jī)切換到iPhone(反之亦然),用戶(hù)將無(wú)法移動(dòng)所有密鑰。相比之下,密碼則更容易轉(zhuǎn)移。
正如蘋(píng)果互聯(lián)網(wǎng)技術(shù)副總裁Darin在WWDC上描述的一樣,脫離密碼的轉(zhuǎn)型是一場(chǎng)旅程。在這場(chǎng)旅行中,不僅需要蘋(píng)果、谷歌、微軟,也需要全球的企業(yè)和用戶(hù)共同參與其中。
2022年歷史的車(chē)輪格外喧囂,iPod、IE瀏覽器、中國(guó)區(qū)Kindle先后被無(wú)情碾過(guò)。如今,密碼也看到了遠(yuǎn)處揚(yáng)起的沙塵。只是這次,科技巨頭“三英戰(zhàn)呂布”,密碼還遠(yuǎn)未見(jiàn)到白門(mén)樓。