信息來(lái)源：安全內(nèi)參

5月5日是“世界密碼日”，蘋(píng)果、谷歌和微軟三家公司選擇在這一天宣布發(fā)起“聯(lián)合行動(dòng)”來(lái)消滅密碼。三家科技巨頭計(jì)劃“擴(kuò)大對(duì)由FIDO聯(lián)盟和萬(wàn)維網(wǎng)聯(lián)盟創(chuàng)建的通用無(wú)密碼登錄標(biāo)準(zhǔn)的支持”，也就是“多設(shè)備FIDO憑證”或萬(wàn)能密鑰（passkey）。

簡(jiǎn)單來(lái)說(shuō)，這個(gè)新的“無(wú)密碼”方案可以把你的手機(jī)變成免密碼登錄的身份驗(yàn)證器，用戶登錄應(yīng)用程序或網(wǎng)站時(shí)會(huì)向手機(jī)推送身份驗(yàn)證請(qǐng)求，用戶只需解鎖手機(jī)，使用密碼或生物識(shí)別在手機(jī)上進(jìn)行身份驗(yàn)證授權(quán)，即可完成登錄。對(duì)于曾使用手機(jī)端雙因素身份驗(yàn)證的人來(lái)說(shuō)，這聽(tīng)起來(lái)很耳熟，但passkey與雙因素驗(yàn)證的最大區(qū)別是：它直接取代了密碼，而不是輔助認(rèn)證手段。

在5日的聯(lián)合公告中，三家科技巨頭承諾為其用戶提供以下兩大“萬(wàn)能密鑰”功能：

1.用戶可以在多臺(tái)設(shè)備（甚至新設(shè)備）上自動(dòng)訪問(wèn)他們的FIDO登錄憑證（也就是所謂的萬(wàn)能密鑰passkey），而無(wú)需重新注冊(cè)每個(gè)賬戶。

2.支持用戶使用移動(dòng)設(shè)備上的FIDO憑證登錄身邊設(shè)備上的APP或者網(wǎng)站，無(wú)論用戶使用何種操作系統(tǒng)或?yàn)g覽器：

一些常見(jiàn)的雙因素認(rèn)證系統(tǒng)需要設(shè)備接入互聯(lián)網(wǎng)，而新的FIDO方案通過(guò)藍(lán)牙就可以工作。近距離認(rèn)證有著更好的安全性，正如白皮書(shū)所解釋的那樣：“藍(lán)牙需要物理上的接近，這意味著可以防止網(wǎng)絡(luò)釣魚(yú)在身份驗(yàn)證期間利用用戶的手機(jī)?！?

藍(lán)牙在兼容性和安全性方面有著糟糕的名聲，但FIDO聯(lián)盟指出藍(lán)牙只是“驗(yàn)證物理距離”，而實(shí)際登錄過(guò)程的安全性并不會(huì)受到藍(lán)牙安全性的影響。

當(dāng)然，這意味著參與驗(yàn)證的兩種設(shè)備都需要內(nèi)置藍(lán)牙模塊，當(dāng)今大多數(shù)智能手機(jī)和筆記本電腦都支持藍(lán)牙，但對(duì)于較舊的臺(tái)式電腦來(lái)說(shuō)可能是一個(gè)問(wèn)題。

多年來(lái)，業(yè)界一直在努力實(shí)現(xiàn)“去密碼化”，早在2008年谷歌就在其博客文章中給出了一個(gè)完整的時(shí)間表，但業(yè)界的實(shí)踐過(guò)程異常艱難。

如果密碼夠長(zhǎng)、隨機(jī)、秘密且唯一，則密碼的安全性可以保障，但密碼的人為因素始終是一個(gè)問(wèn)題。人們不擅長(zhǎng)記憶長(zhǎng)而隨機(jī)的字符串，導(dǎo)致很多人選擇寫(xiě)下密碼或重復(fù)使用密碼。此外，日益猖獗的網(wǎng)絡(luò)釣魚(yú)活動(dòng)也誘騙用戶將密碼提供給第三方。此外頻繁的數(shù)據(jù)泄露事件也導(dǎo)致海量的用戶賬戶密碼被泄露和共享。

FIDO在博客文章中透露：“這些新功能預(yù)計(jì)未來(lái)一年內(nèi)將在蘋(píng)果、谷歌和微軟的產(chǎn)品平臺(tái)上推出?！倍坪跻呀?jīng)提前掀起“萬(wàn)能鑰匙”潮流的蘋(píng)果，已經(jīng)在iOS 15和macOS Monterey中啟動(dòng)并運(yùn)行了一個(gè)類似的系統(tǒng)，但它還不能與蘋(píng)果之外的平臺(tái)兼容。

谷歌的passkey支持已經(jīng)出現(xiàn)在安卓的Play Services中，所以一旦大規(guī)模部署，即便是老舊的安卓設(shè)備也能很好地支持“萬(wàn)能密鑰”。

谷歌產(chǎn)品管理高級(jí)總監(jiān)Mark Risher表示：“這一里程碑見(jiàn)證了全行業(yè)為消除過(guò)時(shí)的基于密碼的身份驗(yàn)證所做的工作?！睂?duì)于谷歌來(lái)說(shuō)，它代表了我們與FIDO一起完成了近十年的工作，也是我們?yōu)閷?shí)現(xiàn)無(wú)密碼未來(lái)而不斷創(chuàng)新的歷程。我們期待在Chrome、ChromeOS、Android和其他平臺(tái)上提供基于FIDO的技術(shù)，并鼓勵(lì)應(yīng)用程序和網(wǎng)站開(kāi)發(fā)人員采用它，以便世界各地的人們可以安全地?cái)[脫密碼的風(fēng)險(xiǎn)和麻煩?！?