谷歌、蘋果與微軟聯手用“萬能密鑰”殺死密碼

5月5日是“世界密碼日”，蘋果、谷歌和微軟三家公司選擇在這一天宣布發起“聯合行動”來消滅密碼。三家科技巨頭計劃“擴大對由FIDO聯盟和萬維網聯盟創建的通用無密碼登錄標準的支持”，也就是“多設備FIDO憑證”或萬能密鑰（passkey）。

簡單來說，這個新的“無密碼”方案可以把你的手機變成免密碼登錄的身份驗證器，用戶登錄應用程序或網站時會向手機推送身份驗證請求，用戶只需解鎖手機，使用密碼或生物識別在手機上進行身份驗證授權，即可完成登錄。對于曾使用手機端雙因素身份驗證的人來說，這聽起來很耳熟，但passkey與雙因素驗證的最大區別是：它直接取代了密碼，而不是輔助認證手段。

在5日的聯合公告中，三家科技巨頭承諾為其用戶提供以下兩大“萬能密鑰”功能：

1.用戶可以在多臺設備（甚至新設備）上自動訪問他們的FIDO登錄憑證（也就是所謂的萬能密鑰passkey），而無需重新注冊每個賬戶。

2.支持用戶使用移動設備上的FIDO憑證登錄身邊設備上的APP或者網站，無論用戶使用何種操作系統或瀏覽器：

一些常見的雙因素認證系統需要設備接入互聯網，而新的FIDO方案通過藍牙就可以工作。近距離認證有著更好的安全性，正如白皮書所解釋的那樣：“藍牙需要物理上的接近，這意味著可以防止網絡釣魚在身份驗證期間利用用戶的手機。”

藍牙在兼容性和安全性方面有著糟糕的名聲，但FIDO聯盟指出藍牙只是“驗證物理距離”，而實際登錄過程的安全性并不會受到藍牙安全性的影響。

當然，這意味著參與驗證的兩種設備都需要內置藍牙模塊，當今大多數智能手機和筆記本電腦都支持藍牙，但對于較舊的臺式電腦來說可能是一個問題。

多年來，業界一直在努力實現“去密碼化”，早在2008年谷歌就在其博客文章中給出了一個完整的時間表，但業界的實踐過程異常艱難。

如果密碼夠長、隨機、秘密且唯一，則密碼的安全性可以保障，但密碼的人為因素始終是一個問題。人們不擅長記憶長而隨機的字符串，導致很多人選擇寫下密碼或重復使用密碼。此外，日益猖獗的網絡釣魚活動也誘騙用戶將密碼提供給第三方。此外頻繁的數據泄露事件也導致海量的用戶賬戶密碼被泄露和共享。

FIDO在博客文章中透露：“這些新功能預計未來一年內將在蘋果、谷歌和微軟的產品平臺上推出。”而似乎已經提前掀起“萬能鑰匙”潮流的蘋果，已經在iOS 15和macOS Monterey中啟動并運行了一個類似的系統，但它還不能與蘋果之外的平臺兼容。

谷歌的passkey支持已經出現在安卓的Play Services中，所以一旦大規模部署，即便是老舊的安卓設備也能很好地支持“萬能密鑰”。

谷歌產品管理高級總監Mark Risher表示：“這一里程碑見證了全行業為消除過時的基于密碼的身份驗證所做的工作。”對于谷歌來說，它代表了我們與FIDO一起完成了近十年的工作，也是我們為實現無密碼未來而不斷創新的歷程。我們期待在Chrome、ChromeOS、Android和其他平臺上提供基于FIDO的技術，并鼓勵應用程序和網站開發人員采用它，以便世界各地的人們可以安全地擺脫密碼的風險和麻煩。”

參考鏈接：

https://fidoalliance.org/apple-google-and-microsoft-commit-to-expanded-support-for-fido-standard-to-accelerate-availability-of-passwordless-sign-ins/

（來源：@GoUpSec）