蘋果、Google 和微軟想用 Passkey 標準殺死密碼

蘋果、Google 和微軟正在發起一項“聯合行動”，目標是“干掉”密碼。主流操作系統供應商希望擴大對 FIDO 聯盟和萬維網聯盟創建的通用無密碼登錄標準的支持。該標準被稱為“多設備 FIDO 憑證”或簡單稱為“Passkey”。新方案并沒有采用一長串字符，而是讓你正在登錄的應用或網站向你的手機推送請求進行身份驗證。你需要解鎖手機，通過某種密碼或者生物特征進行身份驗證，然后開始使用。對任何一個已在使用手機雙因素身份認證功能的人來說，這個系統聽起來有些熟悉，但它是密碼的替代品，而不是增加了一個因素。一些推送雙因素身份認證系統通過互聯網工作，但是這種新的 FIDO 方案使用的是藍牙。正如白皮書所解釋的那樣，“藍牙需要物理接近，這意味著現在我們在身份驗證期間，可以用一種能防范網絡釣魚的方式使用用戶的手機。”藍牙在兼容性方面的口碑很糟糕，我不確定“安全性”是否一直是一個真正的問題，但是FIDO聯盟說的是藍牙只能“在物理接近的情況下驗證”，而實際登錄過程“并不依靠藍牙的安全屬性”。當然這意味著兩臺設備都需要有藍牙功能，大多數智能手機和筆記本電腦都具備這一功能，但是對于比較老的臺式電腦來說可能是一個難題。