文|美通社

全球科技三巨頭罕見地團結(jié)起來，要一起干件大事！

在今年的世界密碼日（5月5日），蘋果、谷歌和微軟這三大科技巨頭在一項聯(lián)合計劃中宣布，他們將致力于在未來一年，在其控制的所有移動、桌面和瀏覽器平臺上打造無密碼登錄系統(tǒng)。

要知道，蘋果和谷歌分別掌握著移動端系統(tǒng)iOS和Android，而微軟的Windows系統(tǒng)也是電腦操作系統(tǒng)領域的霸主。如果這三家企業(yè)準備統(tǒng)一“殺死”密碼，那將對電子設備用戶的日常使用產(chǎn)生巨大影響。

密碼是按特定法則編成，用以對通信雙方的信息進行明密變換的符號。換言之，密碼是隱蔽了真實內(nèi)容的符號序列，只有通過特定的變換手段才可讀懂。

密碼是一門科學，有著悠久的歷史，最早可以追溯到古羅馬時代，尤利烏斯﹒愷撒通過加密信傳遞戰(zhàn)報。此后在近代戰(zhàn)爭中，傳遞情報也離不開密碼。而我們所熟知的“計算機之父”阿蘭﹒圖靈就是英國二戰(zhàn)期間的密碼破譯員。密碼本身的神秘性和復雜性也催生出很多耐人尋味的事件。比如，美國“黃道十二宮殺手”留下的密碼就已成為世界五大頂級密碼之一，吸引眾多密碼學專家去破解。

在現(xiàn)代化社會，密碼更是滲透到每個人的日常生活中。使用手機需要輸入密碼、登陸任何APP需要密碼、購物繳費時需要支付密碼……密碼本應該是保護用戶個人信息安全的保護墻，但隨著密碼設置數(shù)量的增多，搞混密碼、忘記密碼的事情也越來越常見。要知道常年霸占密碼榜單首位的一直是“123456”，可見密碼增多對人們記憶力的挑戰(zhàn)有多大。

而從企業(yè)角度來講，近年來數(shù)據(jù)泄露事件的增加又不得不讓人懷疑密碼的可靠性。

IBM《2022年數(shù)據(jù)泄露成本報告》

傳統(tǒng)的密碼登錄被認為是互聯(lián)網(wǎng)最大的安全問題之一。微軟的一項研究顯示，幾乎80%的網(wǎng)絡攻擊都針對密碼，每天有250個企業(yè)賬戶會遭到黑客攻擊。IBM的《2022年數(shù)據(jù)泄露成本報告》發(fā)現(xiàn)，在全球550家來自不同行業(yè)和地域的組織中，83%的受訪組織已經(jīng)不是第一次發(fā)生數(shù)據(jù)泄露事件。以醫(yī)療健康行業(yè)為例，該行業(yè)的數(shù)據(jù)泄露成本在過去兩年激增了42%，從2020年的713萬美元增長到2022年的1010萬美元。

蘋果、谷歌等也都吃過數(shù)據(jù)泄露的“虧”。2014年9月，蘋果的iCloud遭到黑客攻擊，導致密碼泄露，大約200位名人明星的私密照片在互聯(lián)網(wǎng)上傳播。2020年6月，網(wǎng)絡安全組織Awake Security公開報告指出，谷歌公司旗下的瀏覽器Chrome存在嚴重漏洞，使上千萬用戶的個人資料遭黑客竊取。

總之，生活在互聯(lián)網(wǎng)時代的人們“苦密碼久矣”。

那么是否有一種方式可以不用密碼卻能保護信息不被泄露呢？

其實，很多科技公司都認識到僅依賴密碼認證存在漏洞，并開始探索解決方案。比如，短信驗證登錄，指紋、面部等生物信息識別，這些驗證方式的安全性遠高于密碼登錄認證。

這里就要提到FIDO聯(lián)盟，即Fast Identity Online，快速在線身份識別聯(lián)盟。該聯(lián)盟成立于 2012 年 7 月，旨在通過“一組開放、可擴展、可互操作的機制和更強大、更私密的身份驗證標準，來減少對密碼的依賴”。FIDO的標準草案介紹了FIDO認證協(xié)議的工作原理。用戶可以使用智能手機指紋采集器、USB令牌等多種方式登錄，服務商無需再維護復雜且成本高昂的認證后臺。

在2015年FIDO聯(lián)盟的成員就包括英特爾、微軟、谷歌、黑莓、ARM、 萬事達、美國運通、三星電子、中國金融認證中心、阿里巴巴、聯(lián)想等企業(yè)。我們熟悉的支付寶、京東錢包、翼支付，國外使用的PayPal、NTT等都使用了FIDO聯(lián)盟的相關技術。例如，掃一掃登錄、指紋識別、人臉驗證、U盾、NFC芯片、語音識別等都是在FIDO的協(xié)議標準里面。而蘋果是在2022年加入FIDO的。

2018年4月，F(xiàn)IDO和萬維網(wǎng)聯(lián)盟(W3C)在基于Web的“強身份認證”（Stronger Authentication）上取得重要突破。由FIDO提交的文檔Web Authentication（WebAuthn）正式進入W3C候選推薦標準階段。WebAuthn提供了一個安全的無密碼認證標準，通過WebAuthn，Web應用開發(fā)者可以輕松調(diào)用FIDO基于生物特征、安全、快速的在線身份認證服務。WebAuthn支持的生物驗證方式包括：筆記本電腦的指紋識別和面部識別、安卓設備的指紋識別。同時這種身份驗證比單純依賴密碼和相關身份驗證方式要強大得多。用戶證書和生物識別模板永遠不會離開用戶的設備，也不會存儲在服務器上；帳戶可以免受網(wǎng)絡釣魚，中間人攻擊和使用被盜密碼的反復攻擊。谷歌、微軟以及Mozilla都已承諾在其瀏覽器中支持WebAuthn標準。

2019年，谷歌宣布用戶能用安卓手機通過藍牙在其他設備上進行兩步身份驗證。

2021年微軟宣布開啟無密碼時代，用戶若采用 Microsoft Authenticator、Windows Hello 等方式，就可以完全刪除自己微軟賬戶中的密碼。

蘋果在WWDC 2021 上也宣布了新技術Passkeys，當用戶訪問支持這項新技術的網(wǎng)站時，用戶將在注冊時輸入想要的用戶名，然后使用Face ID或Touch ID(而不是密碼)來驗證自己。今年，蘋果繼續(xù)將此項技術完善，用戶無需復雜的組合密碼，甚至不需要驗證碼，僅需一組儲存在設備端的數(shù)字密鑰即可完成相應網(wǎng)站或App的登陸。

在最新公布的計劃中，F(xiàn)IDO又推出兩項新功能：允許用戶在多臺設備、包括新設備上自動訪問 FIDO 登錄證書(密鑰)，不必重新注冊每個帳戶；允許用戶在移動設備上使用FIDO認證，以通過附近的設備登錄App或網(wǎng)站，無論這些設備運行哪種OS平臺或瀏覽器。FIDO聯(lián)盟希望加強不同設備與不同App、系統(tǒng)生態(tài)之間的互聯(lián)。蘋果、谷歌和微軟平臺預計，這些新功能將在未來一年內(nèi)陸續(xù)實行。

雖然目前對于“無密碼”時代的到來還難以定下時間線，但隨著三大科技巨頭的行動，可以預見傳統(tǒng)的密碼認證正在和我們越走越遠。

而另一方面，當未來系統(tǒng)設備無密碼成為主流，想要追上這股“潮流”，符合全球認可的“無密碼標準”就成為第一道門檻。都說商場如戰(zhàn)場，在全球商業(yè)戰(zhàn)場上，企業(yè)間的競爭往往是“標準”的競爭。阿里巴巴、聯(lián)想、支付寶等雖然已經(jīng)加入FIDO聯(lián)盟，但在技術層面主導方仍是美國的科技巨頭。我們也希望看到更多屬于中國企業(yè)的聯(lián)盟，去制定更多全球認可的標準。