如何消除世界對密碼的需求
FIDO 聯盟董事會成員包括 Amazon、Google、PayPal、RSA、Apple 和微軟(以及 Intel 和 Arm)。該組織將其使命描述為減少世界“對密碼的過度依賴”。FIDO 發布了一份白皮書,闡述了愿景,即解決困擾無密碼功能可用性的問題,這些問題阻礙了推廣。
這份白皮書是概念性而非技術性的,經過多年的投資,在將 FIDO2 和 WebAuthn 無密碼標準集成到Windows、Android、iOS 等系統中后,現在取決于下一步的成功。FIDO 正尋找讓無密碼方案難以前進的核心問題。結論是一切都要歸結為切換或添加設備的程序。例如如果設置新手機的過程過于復雜,又沒有簡單的方法可以登錄你所有的應用程序和帳戶,或者你必須使用密碼重新建立對這些帳戶的所有權,那么大多數用戶都會覺得改變現狀太麻煩了。
無密碼 FIDO 標準依賴設備的生物識別掃描儀或者主 PIN 碼在本地驗證身份,無需將數據通過互聯網傳輸到網絡服務器進行驗證。FIDO 認為,最終解決新設備問題的關鍵概念是讓操作系統實現“FIDO 憑據”管理器,類似于內置的密碼管理器。這種機制不會直接存儲密碼,而是存儲可以在設備之間同步并由設備的生物識別或者密碼鎖保護的加密密鑰。在去年夏天全球開發者大會上,蘋果宣布了自己的 FIDO 版本,這是一項被稱為“Passkeys in iCloud Keychain”的 iCloud 功能,蘋果稱這是“對后密碼世界的貢獻。
FIDO 的白皮書還包含了另一個部分,是對其規范的擬議補充,允許現有的設備(如筆記本電腦)充當硬件令牌,類似于獨立的藍牙身份驗證加密狗,通過藍牙提供物理身份驗證。這個想法實際上仍然是防御網絡釣魚,因為藍牙是一種基于鄰近的協議,可以作為一種有用的工具,根據需要開發出不同版本的、真正的無密碼方案,這些方案都無需保留備份密碼。Google 產品經理 Christiaan Brand 專注于身份和安全以及在FIDO項目上的合作,他表示,密碼式的計劃在邏輯上遵循智能手機或多設備無密碼未來的圖景。Brand表示:“老實說,我們一直牢記‘讓我們超越密碼’這個宏偉愿景的最終狀態,只有每個人口袋里都有手機,它才能實現。”對 FIDO 而言,當務之急是轉變帳戶的安全范式,使網絡釣魚成為過去。當被問及情況是否真的如此時,密碼的喪鐘是否真的最終敲響,Brand 變得嚴肅起來,但他毫不猶豫地回答:“我覺得一切都在聚攏。”
