三巨头联手 “杀死”密码胜利在望?
总市值超5.39万亿美元的全球科技三巨头,罕见地放下成见、抱作一团,将枪口对准人类数字生活的虚拟守门人——密码。
在5月5日的世界密码日上,苹果、微软、谷歌共同承诺,未来一年将在它们控制的所有移动、桌面和浏览器平台上建立对无密码登录的支持,以打造更安全的个人信息与互联网环境。
这是一次不容小觑的联合行动。苹果占据高端智能手机市场的六成份额,谷歌开发的安卓系统覆盖了70%的全球用户,微软则是电脑操作系统领域无可撼动的霸主。
三巨头联手,“杀死”密码胜利在望?
罕见的统一战线
无密码比密码更安全,听起来多少有些反常识。但对很多人来说,无密码这一概念并不新鲜。
在PC端登录微信,就是一个简单直观的无密码场景:在PC端点开微信后,手机收到确认信息,然后通过手机认证完成登录。生活中常常用到的指纹解锁、扫脸支付等,也可以归为无密码技术范畴。
事实上,习惯了自动登录和手机验证登录的用户,恐怕已经没有多少人还记得自己的微信密码。在这种情况下,密码还有存在的必要吗?
在普通用户意识到这个问题之前,苹果、微软、谷歌已经为构建一个无密码的世界探索数年。
在不久前的苹果全球开发者大会(WWDC 2022)上,苹果公布了一项名为“Passkeys”的新技术。当用户需要使用某个网站或应用时,iPhone会收到请求,用户可以直接通过指纹或面容ID在iPhone上进行身份验证,从而直接登录。
图片来源:WWDC发布会
这个过程并不复杂,而且有两个好处:一是不需要记住密码,二是整个过程在一部iPhone上就可以完成。这意味着,用户的任何私密信息都不会被第三方的网络服务器储存和泄露,安全性大大提升。
正如苹果互联网技术副总裁Darin Adler所说,Passkeys不会被盗用,因为它永远不会离开你的设备。
在苹果之前,微软与谷歌也早已在无密码领域布局多年。
早在2017年,微软就尝试用Microsoft Authenticator让用户免密登录微软账户。2018年,微软将这一功能升级并应用在Edge浏览器和Windows 10系统上。据微软官方数据,截至2020年5月,每月有1.5亿用户在使用无密码登入。
2021年,微软宣布从当年9月15日起,用户可以完全删除他们的微软账户密码,并选择使用Microsoft Authenticator应用、Windows Hello、安全密钥等方式认证登录设备。
谷歌则在2019年宣布,在Android 7.0及以上版本中,可调用指纹或面部识别等登录某些支持的网站。
在“杀死”密码这件事上,三巨头罕见地达成了共识。iOS与Android、Windows与MacOS,这次不再为市场份额大打出手,而是要实现互联互通。
2013年、2015年和2020年,谷歌、微软、苹果先后加入FIDO联盟。FIDO(Fast Identity Online)联盟即线上快速身份验证联盟,是一家由PayPal、联想等企业于2012年7月成立的非盈利性行业协会,目前成员已扩大至300余家,其中包括ARM、苹果、三星、亚马逊、阿里巴巴、华为、Netflix等知名企业,以及各国政府的标准制定机构和学术团体。
它们共同的敌人,是曾在互联网历史上扮演重要角色,但也给人类带来巨大困扰和安全风险的密码。天下苦密码久矣
从开机密码、邮箱密码到各类网站的登录密码,密码几乎渗透到了生活的每一个角落。记住各种复杂的密码,则成为人们不得不面对的一大挑战。牛津大学与万事达卡联合进行的一项研究发现,有三分之一在线购物中止,是因为用户忘记密码。
密码管理软件Nordpass给出的安全密码建议是,至少12位数,包含大小写字母、数字及特殊符号,并且每90天要至少更换一次。
达到以上密码安全建议,且不重复使用密码,对普通用户来说无疑是一种负担。
事实上,多数人对于密码安全不以为意。
据微软2016年数据,大约20%的互联网用户正在使用重复密码,另外27%的用户使用的密码与其他帐户密码几乎完全相同。到2018年,仍然有很大一部分互联网用户偏爱弱密码,而不是安全密码。
Nordpass公布的2021年最常用密码榜单显示,“123456”出现了超过1.03亿次,只需要不到一秒钟就能破解。据FIDO官网数据,80%的数据泄露是由密码造成,多达51%的密码被重复使用,而重置一次密码的平均人力成本是70美元。
图片来源:Nordpass网站
一面是多数密码形同虚设,另一面是密码本身的安全缺陷远比人们想象中更大。
据路透社报道,2020年6月,世界著名网络安全组织Awake Security发布的一份公开报告指出,谷歌公司旗下的浏览器Chrome存在严重漏洞,使上千万用户的个人资料遭黑客窃取。经统计,恶意的后台程序至少被下载了3200万次,这意味着3200万用户的密码很有可能已被黑客窃取。
2014年9月,苹果的iCloud遭到黑客攻击,导致密码泄露,大约200位名人明星的私密照片在互联网上传播。
2018年,由于苹果在线商城和手机保险公司Asurion网站存在的漏洞,造成约7200万 T-Mobile运营商用户的密码泄露。
日益严峻的密码安全问题不仅给个人和企业带来风险,甚至可能威胁国家安全。
据中国网络安全审查技术与认证中心发布的信息,来自AntiSec组织的攻击者曾向美国政府军方承包商 Booz Allen Hamilton 进行攻击,并发布9万个美国军方电子邮件地址和密码,包括美国中央司令部、特种作战司令部、海军陆战队、空军部队以及国土安全局的账户密码。
天下苦密码久矣。面对层出不穷的密码安全事故与隐患,苹果、微软、谷歌亟需将更安全、更高效的无密码技术推向前台。
2022年,FIDO联盟的技术革新加速了这一进程。
在5月5日的世界密码日上,三巨头联合宣布扩展对免密码登录通用标准的支持, 预计在未来一年内解决跨平台认证的痛点。
与以往不同的点在于,此次FIDO在跨平台运行上取得了两个新的突破。一是允许用户在多台设备、包括新设备上自动访问FIDO登录证书,而不必重新注册每个账户;二是允许用户在移动设备上使用FIDO认证,以通过附近的设备登录App和网站,无论这些设备运行哪种操作系统平台或使用哪种浏览器。
一个月后,苹果率先在WWDC交出了第一份答卷。Passkeys不仅支持苹果全家桶中的iPhone、iPad、Mac、Apple TV间跨设备认证,同时用户也可以用iPhone解锁FIDO联盟中的其他非苹果产品。
但“杀死”密码,没那么容易。
“杀死”密码不容易
上世纪40年代,为破译德军密码,英国研制出了大型电子运算装置科罗萨斯(Colossus),这是人类历史上第一台可编程的计算机。计算机因破解密码而生,并随后孕育了互联网。
80年后,互联网诞下的科技巨子们却要“杀死”密码,打造一个更方便、更安全的无密码世界。这是一个无比艰巨的任务。
比计算机还要年长的密码,早已渗透到生活中的各个角落。“杀死”密码,不止是技术升级,也是改变一种生活习惯,而这并不容易。正如FIDO联盟的执行董事、CMO Andrew Shikiar所说:“几乎所有用户要做的第一件事就是设置密码,我们需要做的是打破这种习惯。”
2020年,Windows 10的活跃用户数量首次突破10亿。而当年5月微软公布的每月无密码登入使用人数是1.5亿,只有约15%。此时,距离微软在Windows 10上推广无密码登录已经过去近两年。
除了用户习惯难以在短时间内被改变外,横亘在三巨头面前的另一座高墙是:若要实现无密码登录,首先要拥有一部智能手机。
据Strategy Analytics统计,截至2021年,全球有39.5亿人用上了智能手机,普及率约为50%。此外,并非所有智能手机都能运行无密码技术。苹果即将推出的Passkeys需要更新iOS 16版本才能使用,而iPhone SE 2016、iPhone 7之前的老款手机均无法获取iOS 16的更新。
这意味着,如果在全球范围内推广无密码登录,现时将会有至少一半的人无法使用。
此外,虽然FIDO联盟在跨平台应用上取得了进展,但跨平台的密钥转移依旧是一大痛点。简单来说,虽然苹果手机可以在FIDO框架下解锁非苹果产品,但当用户更换成安卓手机后,保存在终端上的密钥也需要批量转移。
专注于报道苹果新闻的外媒9to5Mac表示,FIDO目前提供的解决方案,还无法在不同生态系统之间批量传输密钥。如果想从Android手机切换到iPhone(反之亦然),用户将无法移动所有密钥。相比之下,密码则更容易转移。
正如苹果互联网技术副总裁Darin在WWDC上描述的一样,脱离密码的转型是一场旅程。在这场旅行中,不仅需要苹果、谷歌、微软,也需要全球的企业和用户共同参与其中。
2022年历史的车轮格外喧嚣,iPod、IE浏览器、中国区Kindle先后被无情碾过。如今,密码也看到了远处扬起的沙尘。只是这次,科技巨头“三英战吕布”,密码还远未见到白门楼。