在其全球开发者大会(WWDC)本周,苹果预览了一种名为Passkey的无密码登录方案,它可能有助于让密码成为历史。苹果公司互联网技术副总裁达林•阿德勒称Passkey“更安全,更容易使用,旨在永久取代密码。”考虑到密码有多糟糕,这听起来很好,但以前很多人都尝试过放弃密码。
输入苹果密码
阿德勒这样描述密码:“创建一个唯一的数字密钥,它只适用于它创建的网站。”苹果用户无需使用密码,而是使用生物特征认证(bioometric authentication)来验证自己的身份。该公司的大部分产品都内置了生物特征认证面对ID面部识别和指纹扫描的Touch ID。
在演示中,我们看到有人在网站上创建了一个新账户。他们输入自己的电子邮件地址,但不是创建密码,而是弹出一个窗口,询问他们是否想要创建一个密码密钥。用户使用生物特征进行身份验证——在这种情况下,是他们mac电脑上的Touch ID——就这样了。
阿德勒解释说,通过使用iCloud Keychain,密钥会在用户的苹果设备(包括苹果电视)之间自动同步,它不仅可以在应用程序中使用,还可以在网络上使用。密码也意味着跨平台工作。在演示中,用户使用他们的密码登录,并看到一个扫描二维码。阿德勒表示,在这种情况下,用户的iPhone将通过扫描二维码来验证登录。
虽然在WWDC的演讲中展示了使用的便捷性,但Adler强调了passkey的安全优势。“密码就不行钓鱼网站因为密码永远不会离开你的设备,”他说。“黑客骗不了你把它分享到一个假网站上。密码不会泄露,因为网络服务器上没有任何秘密。”
FIDO连接
在全球开发者大会上,阿德勒表示,passkey是与FIDO联盟(FIDO Alliance)合作创建的多因素身份验证和无密码登录。他还特别强调了苹果与谷歌和微软的合作。
密码是对个人账户和数字生活完整性的最大威胁。
FIDO联盟向我们证实,苹果的密钥使用多设备FIDO凭据(在一个新窗口中打开)这是我们在5月初报道过的一个无密码登录系统。在他的故事中,PCMag记者Michael Kan解释了新的FIDO系统是如何工作的.
“另一个重要的优势是,在登录过程中,手机不会向网站传输任何凭据数据。谷歌说:“相反,你的手机会存储一个FIDO证书,称为密码,可以用来解锁你的在线账户。”
换句话说,网站会发出一个数字‘挑战’,你可以在这个挑战上签名,然后这个挑战就会解锁你的账户。这种方法可能比一些涉及一次性密码的双因素认证系统更安全,后者可能被窃取或拦截。”
FIDO联盟的执行董事兼首席营销官Andrew Shikiar让我对它的工作原理有了更多的了解。“‘密码’主要利用FIDO2标准内的网络认证协议,”他说。“苹果、谷歌和微软已经在FIDO的技术工作组内与数十家其他公司合作,以发展FIDO的标准和实现。”
比苹果更大
尽管密码太糟糕了我们有一个完整的产品类别设计初衷是为了让密码稍微好一点,但现在才有动力永远废除密码。
“密码是对个人账户和数字生活完整性的最大威胁,”Shikiar告诉我们。“如果不再使用密码,消费者将免受网络钓鱼和其他远程攻击的伤害,这些攻击一直困扰着当今的网络经济,而企业也将不再需要在服务器上维护密码。
“对消费者和企业来说,改用无密码确实是罕见的双赢。”
到目前为止,对特殊硬件的需求限制了无密码技术的采用。微软一直在尝试无密码登录一段时间以来,在使用微软Hello和面部识别的个人电脑上,或在使用一个硬件安全密钥.通过依赖用户已经拥有的手机和其他设备,任何使用多设备FIDO证书的东西——包括苹果的passkey——都应该更容易访问。
尽管苹果最具争议的决定是它所遗漏的部分(软盘驱动器、耳机插孔等),但该公司也通过将新技术集成到现有产品中来推动新技术的采用。作为苹果生态系统的一部分,Passkey可能会比第三方提供的选项得到更多的采用。
废除密码的另一个挑战是如何让其他网站和服务采用新的、更安全的登录系统。尽管支持多因素身份验证的站点比以往任何时候都多,但并不是每个站点都这样做,只有少数站点支持MFA登录的硬件安全密钥。FIDO多因素和无密码登录系统确实需要网站集成FIDO技术,所以可以肯定的是,苹果的密码键也会如此。
如果这是苹果自己的事情,我就会怀疑它是否有足够的压力来推动第三方对密钥的支持。但是,谷歌、微软和FIDO联盟的加入使其更容易被接受。苹果可能在其平台上获得了Passkeys的荣誉,但只有合作才能消灭密码。
即使在朝着无密码的未来发展的势头下,苹果也谨慎地设定了预期。在全球开发者大会的环节中,阿德勒暗示了一些仍然存在的挑战:“摆脱密码的转变将是一段旅程。”
不太清楚的是,这段旅程是即将结束,还是刚刚开始。