5月6日消息,美国当地时间周四,苹果、谷歌和微软等科技巨头联合宣布,将在未来一年内在他们控制的所有移动、桌面和浏览器平台上支持无密码登录功能。实际上,这意味着在不远的将来,无密码身份验证将进入所有主要的设备平台,包括安卓和iOS移动操作系统;Chrome、Edge和Safari浏览器;以及Windows和MacOS桌面环境。
苹果平台产品营销高级总监库尔特·奈特(Kurt Knight)表示:“我们在将产品设计得直观而强大的同时,也把它们设计得私密而安全。与业界合作建立新的、更安全的登录方法,提供更好的保护并消除密码漏洞,是我们致力于打造提供最大安全性和透明用户体验的产品的核心,所有这些都以确保用户个人信息安全为目标。”
谷歌产品管理高级总监马克·里舍尔(Mark Risher)表示:“这一里程碑证明了整个行业为加强保护和消除过时的、基于密码的身份验证所做的协作努力。我们期待着让基于FIDO的技术能够在Chrome、ChromeOS、安卓和其他平台上使用,并鼓励应用程序和网站开发者采用它,这样世界各地的人们就可以安全地摆脱密码带来的风险和麻烦。”
微软身份计划管理业务副总裁亚历克斯·西蒙斯(Alex Simons)说:“向无密码世界的彻底转变将从消费者让密码成为他们生活的自然部分开始。任何可行的解决方案都必须比今天使用的密码和传统的多因素身份验证方法更安全、更容易、更快捷。通过支持跨平台努力,我们最终可以实现这一愿景,并在消除密码方面取得重大进展。我们看到了基于FIDO的凭据在消费者和企业场景中的光明未来,并将继续在微软应用和服务中建立支持。”
只使用密码进行身份验证如今已经成为网络上最大的安全问题之一,管理如此多的密码对消费者来说很麻烦,这往往导致消费者在不同的服务中重复使用相同的密码。这种做法可能导致数据泄露,甚至身份被盗。虽然密码管理器和传统形式的两步身份验证增强了安全,但整个行业都在协作,以创建更方便、更安全的登录技术。
谷歌在周四发布的博文中写道,无密码登录过程将允许用户选择他们的手机作为应用、网站和其他数字服务的主要身份验证设备。用任何被设置为默认操作的解锁(包括输入PIN码、绘制图案或使用指纹解锁)手机,可以在无需输入密码的情况下登录到网络服务上,这可以通过使用手机和网站之间共享的、被称为密钥的唯一加密令牌来实现。
这种跨平台功能是由一种名为FIDO的标准支持的,该标准使用公钥密码学的原理在各种情况下实现无密码身份验证和多因素身份验证。用户的手机可以存储唯一符合FIDO标准的密钥,只有在手机解锁时才会与网站共享它以进行身份验证。根据谷歌的帖子,在手机丢失的情况下,密钥也可以很容易地被从云端备份同步到新设备上。
来自世界各地的数百家技术公司和服务提供商在FIDO联盟和W3C内部合作创建了无密码登录标准,该标准已经在数十亿设备和所有现代网络浏览器中得到支持。苹果、谷歌和微软主导了这一扩展功能的开发,现在正在将这种支持构建到各自的平台中。不过,之前要求用户在使用无密码功能之前,先用每台设备登录到每个网站或应用上,这意味着用户仍然容易受到网络钓鱼攻击,密码在此过程中可能被拦截或窃取。
现在,正如谷歌负责安全身份验证的产品管理总监、FIDO联盟主席萨姆帕斯·斯里尼瓦斯(SamPath Srinivas)所说,新技术将取消最初对密码的要求。苹果、谷歌以及微软为用户提供了新功能,以实现更无缝、更安全的无密码登录。斯里尼瓦斯表示:“今天宣布的FIDO扩展支持将使网站首次实现端到端防钓鱼攻击的无密码体验,这包括首次登录网站和重复登录。当2022年和2023年整个行业都提供密钥支持时,我们最终将拥有真正不需要密码的互联网平台。”
通过在物理设备上进行登录,用户将同时受益于简单性和安全性。如果没有密码,用户就不再需要记住跨服务登录的各种细节,也不必担心通过在多个地方重复使用相同的密码危及安全性。同样,无密码系统将使黑客更难远程泄露登录细节,因为登录需要访问物理设备。从理论上讲,用户被引导到虚假网站以获取密码的钓鱼攻击将更难施行。
微软负责安全、合规、身份和隐私的副总裁瓦苏・亚卡尔Vasu Jakkal)强调了跨平台的兼容性水平。他在一份通过电子邮件发送的声明中表示:“有了移动设备上的密钥,你就可以在几乎任何设备上登录应用程序或服务,无论设备运行的是什么平台或浏览器。例如,用户可以使用苹果设备上的密钥登录运行在微软Windows上的谷歌Chrome浏览器。”
到目前为止,苹果、谷歌和微软都表示,他们预计新的登录功能将在明年跨平台使用,但还没有宣布更具体的路线图。尽管取消密码的努力已经进行了多年,但有迹象表明,这次有望取得成功。(小小)