5月6日消息,美国当地时间周四,苹果、谷歌和微软等科技巨头联合宣布,将在未来一年内支持其控制的所有移动、桌面和浏览器平台的免密码登录。实际上,这意味着在不久的将来,免密码认证将进入各大设备平台,包括Android和iOS移动操作系统;Chrome、Edge和Safari浏览器;以及Windows和MacOS桌面环境。
苹果平台产品营销高级总监库尔特·奈特(Kurt Knight)表示:“虽然我们将产品设计得直观而强大,但我们也将它们设计得私密而安全。与行业合作建立一种新的更安全的登录方法,提供更好的保护并消除密码漏洞是我们努力创造提供最大安全性和透明用户体验的产品的核心,所有这些都旨在确保用户个人信息的安全。"
谷歌产品管理高级总监马克·里舍(Mark Risher)表示:“这一里程碑证明了整个行业在加强保护和消除过时的基于密码的身份认证方面的协同努力。我们期待使基于FIDO的技术在Chrome、ChromeOS、Android和其他平台上可用,并鼓励应用程序和网站开发者采用它,以便世界各地的人们可以安全地摆脱密码带来的风险和麻烦。”
微软身份计划管理业务副总裁亚历克斯·西蒙斯(Alex Simons)表示:“向无密码世界的彻底转变将从消费者让密码成为他们生活中自然的一部分开始。任何可行的解决方案都必须比现在使用的密码和传统多因素身份认证方法更安全、更简单、更快速。通过支持跨平台的努力,我们可以最终实现这一愿景,并在消除密码方面取得重大进展。我们看到了基于FIDO的凭证在消费者和企业场景中的光明前景,并将继续在微软应用和服务中建立支持。”
仅使用密码进行身份验证现在已经成为网络上最大的安全问题之一。消费者管理这么多密码比较麻烦,往往导致消费者在不同的服务中重复使用同一个密码。这种做法可能会导致数据泄露,甚至身份盗窃。尽管密码管理器和传统形式的两步认证增强了安全性,但整个行业正在合作开发一种更方便、更安全的登录技术。
谷歌在周四发布的一篇博客中写道,无密码登录过程将允许用户选择他们的手机作为应用程序、网站和其他数字服务的主要认证设备。任何通过默认操作(包括输入PIN码、绘制图案或通过指纹解锁)解锁的手机都可以在不输入密码的情况下登录网络服务,这可以通过使用手机和网站之间共享的唯一加密令牌(称为密钥)来实现。
这种跨平台的功能得到了一个叫做FIDO的标准的支持,该标准利用公钥密码学的原理实现了各种情况下的无密码认证和多因素认证。用户的手机可以存储一个唯一的符合FIDO的密钥,该密钥只会在手机解锁时共享给网站进行身份验证。根据谷歌的帖子,在手机丢失的情况下,密钥也可以很容易地从云备份同步到新设备上。
来自世界各地的数百家技术公司和服务提供商在FIDO Alliance和W3C内合作创建了一个无密码登录标准,该标准已在数十亿台设备和所有现代web浏览器中得到支持。苹果、谷歌和微软已经领导了这一扩展功能的开发,现在他们正在将这一支持构建到各自的平台中。然而,用户之前需要使用每台设备登录每个网站或应用程序才能使用无密码功能,这意味着用户仍然容易受到钓鱼攻击,密码可能在此过程中被拦截或窃取。
现在,正如谷歌安全认证产品管理总监、FIDO联盟主席SamPath Srinivas所说,新技术将取消原来的密码要求。苹果、谷歌和微软已经为用户提供了新的功能,以实现更加无缝和安全的无密码登录。尼瓦斯表示:“今天宣布的FIDO扩展支持将使网站首次实现针对钓鱼攻击的端到端免密码体验,包括首次登录网站和重复登录。2022年、2023年全行业提供关键支持的时候,我们终于会有一个真正不需要密码的互联网平台了。”
通过在物理设备上登录,用户将受益于简单性和安全性。如果没有密码,用户不再需要记住跨服务登录的细节,也不用担心在多个地方重复使用同一个密码危及安全。同样,无密码系统将使黑客更难远程泄露登录细节,因为登录需要访问物理设备。理论上,将用户导向虚假网站以获取密码的网络钓鱼攻击将更难实施。
微软负责安全、合规、身份和隐私的副总裁瓦苏·杰克卡尔强调了跨平台兼容性的水平。他在一份电子邮件声明中说,“通过移动设备上的密钥,你可以在几乎任何设备上登录应用程序或服务,不管设备运行的是什么平台或浏览器。”例如,用户可以使用苹果设备上的密钥登录运行在微软Windows上的谷歌Chrome浏览器。"
到目前为止,苹果、谷歌和微软都表示,他们预计明年新的登录功能将跨平台使用,但尚未宣布更具体的路线图。虽然密码注销已经进行了很多年,但有迹象表明这次有望成功。(小小)
