ADVERTISEMENT
總市值超5.39兆美元的全球科技三巨頭,罕見地放下成見、一起合作,將目標對準人類數位生活的守門人——密碼。
在5月5日的世界密碼日上,蘋果、微軟、谷歌共同承諾,未來一年將在它們控制的所有行動、桌機和瀏覽器平臺上建立對無密碼登入的支援,以打造更安全的個人資訊與網路環境。
這是一次不容小覷的聯合行動。蘋果佔據高階智慧型手機市場的6成,谷歌開發的Android系統覆蓋了70%的全球使用者,微軟則是電腦作業系統領域無可撼動的霸主。
三巨頭聯手,「殺死」密碼勝利在望?
罕見的統一戰線
無密碼比密碼更安全,聽起來多少有些反常識。但對很多人來說,無密碼這一概念並不新鮮。
在PC端登入手機的APP,手機收到確認資訊,然後透過手機認證完成登入電腦。生活中常常用到的指紋解鎖、掃臉支付等,也可以歸為無密碼技術範疇。
事實上,習慣了自動登入和手機驗證登入的使用者,恐怕已經沒有多少人還記得自己的密碼。在這種情況下,密碼還有存在的必要嗎?
在一般使用者意識到這個問題之前,蘋果、微軟、谷歌已經為構建一個無密碼的世界探索數年。
在不久前的蘋果全球開發者大會(WWDC 2022)上,蘋果公布了一項名為「Passkeys」的新技術。當使用者需要使用某個網站或應用時,iPhone會收到請求,使用者可以直接透過指紋或臉部ID在iPhone上進行身份驗證,進而直接登入。
這個過程並不複雜,而且有兩個好處:一是不需要記住密碼,二是整個過程在一部iPhone上就可以完成。這意味著,使用者的任何私密資訊都不會被協力廠商的網路服務器儲存和洩露,安全性大大提升。
正如蘋果網路技術副總裁Darin Adler所說,Passkeys不會被盜用,因為它永遠不會離開你的裝置。
在蘋果之前,微軟與谷歌也早已在無密碼領域布局多年。
早在2017年,微軟就嘗試用Microsoft Authenticator讓使用者免密碼登入微軟帳戶。2018年,微軟將這一功能升級並應用在Edge瀏覽器和Windows 10系統上。據微軟官方資料,截至2020年5月,每月有1.5億使用者在使用無密碼登入。
2021年,微軟宣布從當年9月15日起,使用者可以完全刪除他們的微軟帳戶密碼,並選擇使用Microsoft Authenticator應用、Windows Hello、安全金鑰等方式認證登入裝置。
谷歌則在2019年宣布,在Android 7.0及以上版本中,可調用指紋或臉部辨識等登入某些支援的網站。
在「殺死」密碼這件事上,三巨頭罕見地達成了共識。iOS與Android、Windows與MacOS,這次不再為市場占有率大打出手,而是要實現互聯互通。
2013年、2015年和2020年,谷歌、微軟、蘋果先後加入FIDO聯盟。FIDO(Fast Identity Online)聯盟即線上快速身份驗證聯盟,是一家由PayPal、聯想等企業於2012年7月成立的非盈利性行業協會,目前成員已擴大至300餘家,其中包括ARM、蘋果、三星、亞馬遜、阿里巴巴、Netflix等知名企業,以及各國政府的標準制定機構和學術團體。
它們共同的敵人,是曾在網路歷史上扮演重要角色,但也給人類帶來巨大困擾和安全風險的密碼。
天下苦密碼久矣
從開機密碼、信箱密碼到各類網站的登入密碼,密碼幾乎滲透到了生活的每一個角落。記住各種複雜的密碼,則成為人們不得不面對的一大挑戰。牛津大學與萬事達卡聯合進行的一項研究發現,有三分之一線上購物中止,是因為使用者忘記密碼。
密碼管理軟體Nordpass給出的安全密碼建議是,至少12位數,包含大小寫字母、數位及特殊符號,並且每90天要至少更換一次。
達到以上密碼安全建議,且不重複使用密碼,對普通使用者來說無疑是一種負擔。
事實上,多數人對於密碼安全不以為意。
據微軟2016年資料,大約20%的網際網路使用者正在使用重複密碼,另外27%的使用者使用的密碼與其他帳戶密碼幾乎完全相同。到2018年,仍然有很大一部分網路使用者偏愛弱密碼,而不是安全密碼。
Nordpass公布的2021年最常用密碼榜單顯示,「123456」出現了超過1.03億次,只需要不到一秒鐘就能破解。據FIDO官網資料,80%的資料洩露是由密碼造成,多達51%的密碼被重複使用,而重置一次密碼的平均人力成本是70美元。
一方面是多數密碼形同虛設,另一方面是密碼本身的安全缺陷遠比人們想像中更大。
據路透社報導,2020年6月,世界著名網路安全性群組織Awake Security發布的一份公開報告指出,谷歌公司旗下的瀏覽器Chrome存在嚴重漏洞,使得上千萬使用者的個人資料遭駭客竊取。經統計,惡意的背景程式至少被下載了3200萬次,這意味著3200萬使用者的密碼很有可能已被駭客竊取。
2014年9月,蘋果的iCloud遭到駭客攻擊,導致密碼洩露,大約200位名人明星的私密照片在網路上傳播。
2018年,由於蘋果線上商城和手機保險公司Asurion網站存在的漏洞,造成約7200萬 T-Mobile運營商使用者的密碼洩露。
日益嚴峻的密碼安全問題不僅給個人和企業帶來風險,甚至可能威脅國家安全。來自AntiSec組織的攻擊者曾向美國政府軍方承包商 Booz Allen Hamilton 進行攻擊,並發布9萬個美國軍方電子郵寄地址和密碼,包括美國中央司令部、特種作戰司令部、海軍陸戰隊、空軍部隊以及國土安全局的帳戶密碼。
天下苦密碼久矣。面對層出不窮的密碼安全事故與隱患,蘋果、微軟、谷歌亟需將更安全、更高效的無密碼技術推向前臺。
2022年,FIDO聯盟的技術革新加速了這一進程。
在5月5日的世界密碼日上,三巨頭聯合宣布擴大對免密碼登入通用標準的支援, 預計在未來一年內解決跨平臺認證的痛點。
與以往不同的點在於,此次FIDO在跨平臺運行上取得了兩個新的突破。一是允許使用者在多台裝置、包括新裝置上自動連結FIDO登入證書,而不必重新註冊每個帳戶;二是允許使用者在行動裝置上使用FIDO認證,以透過附近的裝置登入App和網站,無論這些裝置運行哪種作業系統平臺或使用哪種瀏覽器。
一個月後,蘋果率先在WWDC交出了第一份答卷。Passkeys不僅支持蘋果旗下的iPhone、iPad、Mac、Apple TV間跨裝置認證,同時使用者也可以用iPhone解鎖FIDO聯盟中的其他非蘋果產品。
但「殺死」密碼,沒那麼容易。
「殺死」密碼不容易
上世紀40年代,為破譯德軍密碼,英國研製出了大型電子運算裝置Colossus,這是人類歷史上第一台可程式化的電腦。電腦因破解密碼而生,並隨後孕育了網際網路。
80年後,網際網路下產生的科技巨頭們卻要「殺死」密碼,打造一個更方便、更安全的無密碼世界。這是一個無比艱巨的任務。
比電腦還要年長的密碼,早已滲透到生活中的各個角落。「殺死」密碼,不止是技術升級,也是改變一種生活習慣,而這並不容易。正如FIDO聯盟的執行董事、CMO Andrew Shikiar所說:「幾乎所有使用者要做的第一件事就是設置密碼,我們需要做的是打破這種習慣。」
2020年,Windows 10的活躍使用者數量首次突破10億。而當年5月微軟公布的每月無密碼登入使用人數是1.5億,只有約15%。此時,距離微軟在Windows 10上推廣無密碼登入已經過去近兩年。
除了使用者習慣難以在短時間內被改變外,橫亙在三巨頭面前的另一座高牆是:若要實現無密碼登入,首先要擁有一部智慧型手機。
據Strategy Analytics統計,截至2021年,全球有39.5億人使用智慧型手機,普及率約為50%。此外,並非所有智慧型手機都能運行無密碼技術。蘋果即將推出的Passkeys需要更新iOS 16版本才能使用,而iPhone SE 2016、iPhone 7之前的舊款手機均無法獲取iOS 16的更新。
這意味著,如果在全球範圍內推廣無密碼登入,現時將會有至少一半的人無法使用。
此外,雖然FIDO聯盟在跨平臺應用上取得了進展,但跨平臺的金鑰轉移依舊是一大痛點。簡單來說,雖然蘋果手機可以在FIDO框架下解鎖非蘋果產品,但當使用者更換成Android手機後,保存在終端上的金鑰也需要批次轉移。
9to5Mac表示,FIDO目前提供的解決方案,還無法在不同生態系統之間批次傳輸金鑰。如果想從Android手機切換到iPhone(反之亦然),使用者將無法移動所有金鑰。相比之下,密碼則更容易轉移。
正如蘋果網路技術副總裁Darin在WWDC上描述的一樣,脫離密碼的轉型是一場旅程。在這場旅行中,不僅需要蘋果、谷歌、微軟,也需要全球的企業和使用者共同參與其中。
轉貼中國文章也要注意用字遣詞唷~<( ̄︶ ̄)>