行業(yè)動(dòng)態(tài)

谷歌、蘋果與微軟聯(lián)手用“萬(wàn)能密鑰”殺死密碼

來(lái)源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2022-05-07    瀏覽次數(shù):
 

信息來(lái)源:安全內(nèi)參


5月5日是“世界密碼日”,蘋果、谷歌和微軟三家公司選擇在這一天宣布發(fā)起“聯(lián)合行動(dòng)”來(lái)消滅密碼。三家科技巨頭計(jì)劃“擴(kuò)大對(duì)由FIDO聯(lián)盟和萬(wàn)維網(wǎng)聯(lián)盟創(chuàng)建的通用無(wú)密碼登錄標(biāo)準(zhǔn)的支持”,也就是“多設(shè)備FIDO憑證”或萬(wàn)能密鑰(passkey)。

簡(jiǎn)單來(lái)說(shuō),這個(gè)新的“無(wú)密碼”方案可以把你的手機(jī)變成免密碼登錄的身份驗(yàn)證器,用戶登錄應(yīng)用程序或網(wǎng)站時(shí)會(huì)向手機(jī)推送身份驗(yàn)證請(qǐng)求,用戶只需解鎖手機(jī),使用密碼或生物識(shí)別在手機(jī)上進(jìn)行身份驗(yàn)證授權(quán),即可完成登錄。對(duì)于曾使用手機(jī)端雙因素身份驗(yàn)證的人來(lái)說(shuō),這聽(tīng)起來(lái)很耳熟,但passkey與雙因素驗(yàn)證的最大區(qū)別是:它直接取代了密碼,而不是輔助認(rèn)證手段。

在5日的聯(lián)合公告中,三家科技巨頭承諾為其用戶提供以下兩大“萬(wàn)能密鑰”功能:

1.用戶可以在多臺(tái)設(shè)備(甚至新設(shè)備)上自動(dòng)訪問(wèn)他們的FIDO登錄憑證(也就是所謂的萬(wàn)能密鑰passkey),而無(wú)需重新注冊(cè)每個(gè)賬戶。

2.支持用戶使用移動(dòng)設(shè)備上的FIDO憑證登錄身邊設(shè)備上的APP或者網(wǎng)站,無(wú)論用戶使用何種操作系統(tǒng)或?yàn)g覽器:

一些常見(jiàn)的雙因素認(rèn)證系統(tǒng)需要設(shè)備接入互聯(lián)網(wǎng),而新的FIDO方案通過(guò)藍(lán)牙就可以工作。近距離認(rèn)證有著更好的安全性,正如白皮書(shū)所解釋的那樣:“藍(lán)牙需要物理上的接近,這意味著可以防止網(wǎng)絡(luò)釣魚(yú)在身份驗(yàn)證期間利用用戶的手機(jī)?!?

藍(lán)牙在兼容性和安全性方面有著糟糕的名聲,但FIDO聯(lián)盟指出藍(lán)牙只是“驗(yàn)證物理距離”,而實(shí)際登錄過(guò)程的安全性并不會(huì)受到藍(lán)牙安全性的影響。

當(dāng)然,這意味著參與驗(yàn)證的兩種設(shè)備都需要內(nèi)置藍(lán)牙模塊,當(dāng)今大多數(shù)智能手機(jī)和筆記本電腦都支持藍(lán)牙,但對(duì)于較舊的臺(tái)式電腦來(lái)說(shuō)可能是一個(gè)問(wèn)題。

多年來(lái),業(yè)界一直在努力實(shí)現(xiàn)“去密碼化”,早在2008年谷歌就在其博客文章中給出了一個(gè)完整的時(shí)間表,但業(yè)界的實(shí)踐過(guò)程異常艱難。

如果密碼夠長(zhǎng)、隨機(jī)、秘密且唯一,則密碼的安全性可以保障,但密碼的人為因素始終是一個(gè)問(wèn)題。人們不擅長(zhǎng)記憶長(zhǎng)而隨機(jī)的字符串,導(dǎo)致很多人選擇寫(xiě)下密碼或重復(fù)使用密碼。此外,日益猖獗的網(wǎng)絡(luò)釣魚(yú)活動(dòng)也誘騙用戶將密碼提供給第三方。此外頻繁的數(shù)據(jù)泄露事件也導(dǎo)致海量的用戶賬戶密碼被泄露和共享。

FIDO在博客文章中透露:“這些新功能預(yù)計(jì)未來(lái)一年內(nèi)將在蘋果、谷歌和微軟的產(chǎn)品平臺(tái)上推出?!倍坪跻呀?jīng)提前掀起“萬(wàn)能鑰匙”潮流的蘋果,已經(jīng)在iOS 15和macOS Monterey中啟動(dòng)并運(yùn)行了一個(gè)類似的系統(tǒng),但它還不能與蘋果之外的平臺(tái)兼容。

谷歌的passkey支持已經(jīng)出現(xiàn)在安卓的Play Services中,所以一旦大規(guī)模部署,即便是老舊的安卓設(shè)備也能很好地支持“萬(wàn)能密鑰”。

谷歌產(chǎn)品管理高級(jí)總監(jiān)Mark Risher表示:“這一里程碑見(jiàn)證了全行業(yè)為消除過(guò)時(shí)的基于密碼的身份驗(yàn)證所做的工作?!睂?duì)于谷歌來(lái)說(shuō),它代表了我們與FIDO一起完成了近十年的工作,也是我們?yōu)閷?shí)現(xiàn)無(wú)密碼未來(lái)而不斷創(chuàng)新的歷程。我們期待在Chrome、ChromeOS、Android和其他平臺(tái)上提供基于FIDO的技術(shù),并鼓勵(lì)應(yīng)用程序和網(wǎng)站開(kāi)發(fā)人員采用它,以便世界各地的人們可以安全地?cái)[脫密碼的風(fēng)險(xiǎn)和麻煩?!?


 
 

上一篇:出售訪問(wèn)墮胎診所者的位置信息,數(shù)據(jù)公司:已關(guān)閉該功能

下一篇:2022年5月7日聚銘安全速遞