密码作为一个保护用户个人财产的“武器”,如今早就已经成为了每个人的刚需。然而,绝大多数人其实并没有养成良好的密码使用习惯,在知名密码管理服务公司NordPass每年公布的“全球个最常用密码榜单”里,其中“”的榜首地位常年未能被撼动。尽管许多人习惯于使用“”是因为这个密码确实简单好记,但同时这也带来了不小的安全风险。
既然如此,为什么不将密码这一古老的事物淘汰呢?
5月5日,也就是在今年的“世界密码日”上,科技巨头苹果、谷歌和微软联合宣布将进一步扩大对在线快速身份认证联盟(下文简称为FIDO)和万维网联盟创建的无密码登录通用标准的支持。这几家巨头承诺,在未来的一年中将致力于在旗下所有移动端、PC端和浏览器平台上,为用户提供统一、安全、便捷的免密登录方式。
而之所以这些科技巨头要搞“无密码”,最直接的原因其实是现有的账户密码身份认证体系,已经不能适应时代的发展了。
据相关统计显示,密码如今已成为了绝大多数企业和消费者帐户被攻击的切入点,以至于微软方面曾透露,每秒约有次密码攻击发生,每年有超过亿个账号的密码被黑客攻击过。毕竟对于黑客来说,暴力破解和字典攻击是两大最为常用的攻击方式,其中暴力破解顾名思义就是在大量算力的加持下,尝试每一个在给定长度下各种字符的组合,而字典攻击则是根据用户习惯设置的密码,收集起来编写成为“常用密码库”。
由于类似“”及“abcdefg”这种单纯由数字或字母组成的密码过于脆弱,导致互联网平台对于密码的要求已经变得越来越复杂,如今通常会具体到密码中应该包括多个符号、数字、大小写字符,并且会禁止使用以前的密码,但这就使得用户记住和管理密码变得非常不便。
说到底,密码就是一个证明“我是我”的工具,而要证明“我是我”其实并非只能依赖密码,指纹、虹膜等生物特质,以及U盾、安全令牌等实体设备,同样也可以实现这一目的。
当然,无密码并不等于没有密码,微软、谷歌、苹果所希望的其实是用新的身份验证方式,来取代现有的账号密码体系。
具体来说,微软等厂商是在FIDO的框架下,允许用户在多台设备、包括新设备上自动访问FIDO登录证书,而不必重新去注册每一个账户。同时,允许用户在移动设备上使用FIDO认证,以通过附近的设备登录APP或网站,而无论这些设备运行哪一种操作系统或浏览器。按照FIDO协议而产生了两种无密码认证的方式,其一是通用认证框架(下文简称为UAF),其二则是通用双因素认证框架(下文简称为U2F)。
UAF就是指纹、语音、虹膜、脸部识别等生物身份识别方式,使用的是每个用户都独一无二的生物特征,来证明“我是我”,并且这一解决方案目前在各领域都已经有了大规模的应用。不过由于生物识别严重依赖于硬件设备,所以通用性相较并不高。
而U2F则是双因素验证,这一身份认证机制对于iOS用户和游戏玩家来说应该不会陌生。其所指的是在密码之外,还需要一个额外的设备接收实时验证码,例如网银的U盾、Steam令牌等等“登录器”,但这一模式的劣势就是局限性较大,一个登录器往往只能服务一个产品。
对于微软、谷歌、苹果这三大厂商来说,无疑他们就是解决UAF或U2F弊端的最合适人选。其中,微软有Windows以及其背后的PC平台,谷歌有Android和Chrome浏览器,苹果有iOS操作系统与iPhone等硬件设备,这三大厂商的业务就已经完全覆盖了这个星球主流人群进入互联网世界的入口。
UAF的生物识别需要设备支持,但搭载微软Windows的PC、使用Android的智能手机,以及苹果的iPhone、iPad和Mac就可以解决。虽然U2F的“登录器”局限性大,但微软账号、谷歌账号、苹果AppleID无疑就是现成的登录器。
事实上,想必大家对于许多APP上经常见到的“
联系电话: