蘋果、谷歌和微軟近日宣布，他們將很快支持一種完全避免使用密碼的身份驗證方法，用戶只需解鎖智能手機即可登錄網(wǎng)站或在線服務(wù)。專家表示，這些改變將有助于抵御多種類型的網(wǎng)絡(luò)釣魚攻擊，并減輕互聯(lián)網(wǎng)用戶的整體密碼負(fù)擔(dān)。但值得注意的是，對于大多數(shù)網(wǎng)站來說，可能還需要數(shù)年時間才能真正迎來無密碼時代。

這些科技巨頭是行業(yè)主導(dǎo)密碼革新工作的一部分，這些密碼很容易被忽視，經(jīng)常被惡意軟件和網(wǎng)絡(luò)釣魚攻擊竊取，或者在企業(yè)數(shù)據(jù)泄露后被曝光并被在線出售。

蘋果、谷歌和微軟是快速在線身份認(rèn)證（FIDO）聯(lián)盟和萬維網(wǎng)聯(lián)盟(W3C)制定的無密碼登錄標(biāo)準(zhǔn)的積極貢獻(xiàn)者。過去十年，這些組織與數(shù)百家科技公司合作開發(fā)一種新的登錄標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)可兼容多個瀏覽器和操作系統(tǒng)。

據(jù) FIDO 聯(lián)盟介紹，用戶將能夠通過每天多次解鎖設(shè)備的相同操作來登錄網(wǎng)站——包括設(shè)備 PIN 碼、指紋以及面部識別等生物特征。

該聯(lián)盟在 5 月 5 日寫道：“與密碼和傳統(tǒng)的多因素認(rèn)證技術(shù)（例如通過短信發(fā)送的一次性密碼）相比，這種新方法可以防止網(wǎng)絡(luò)釣魚攻擊，使登錄從根本上更加安全?！?/p>

谷歌安全認(rèn)證主管兼 FIDO 聯(lián)盟主席Sampath Srinivas表示，在新系統(tǒng)下，你的手機將存儲一個名為“密碼”的 FIDO 憑證，用于解鎖你的在線帳戶。

“密碼使登錄更加安全，因為它基于公鑰加密，并且僅在你解鎖手機時才會顯示在您的在線帳戶中，”Srinivas 寫道?！耙谀愕碾娔X上登錄網(wǎng)站，只需將手機放在附近，系統(tǒng)就會提示你解鎖以進(jìn)行訪問。完成此操作后，將不再需要手機，只需解鎖電腦即可登錄?！?/p>

蘋果、谷歌和微軟已經(jīng)支持這些無密碼標(biāo)準(zhǔn)（例如“使用 Google 登錄”），但用戶需要在每個網(wǎng)站上登錄才能使用無密碼功能。在這個新系統(tǒng)下，用戶將能夠在許多設(shè)備上自動訪問他們的密鑰，無需重新注冊每個帳戶，可以用他們的移動設(shè)備登錄附近設(shè)備上的應(yīng)用或網(wǎng)站。

SANS 技術(shù)研究所研究主任Johannes Ullrich稱該聲明是“迄今為止解決身份驗證挑戰(zhàn)最有希望的嘗試”。

“該標(biāo)準(zhǔn)最重要的部分是它不需要用戶購買新設(shè)備，而是可以使用他們已經(jīng)擁有并會使用的設(shè)備來用作身份驗證?！盪llrich 說。

哥倫比亞大學(xué)計算機科學(xué)教授、早期互聯(lián)網(wǎng)研究者和先驅(qū)Steve Bellovin 稱，這種無密碼嘗試是身份驗證領(lǐng)域的“巨大進(jìn)步”，但他還表示，許多網(wǎng)站需要很長時間才能趕上這種變革。

Bellovin 等人表示，在這種新的無密碼身份驗證方案中，存在一個潛在的棘手場景，即當(dāng)有人丟失或損壞移動設(shè)備時，他們無法追回 iCloud 密碼時會是什么情況。

“我擔(dān)心那些買不起額外設(shè)備，或者無法輕易更換損壞或被盜設(shè)備的人，”Bellovin 說，“我擔(dān)心云帳戶密碼遺忘的恢復(fù)問題。”

谷歌表示，即使你的手機丟失了，“你的密鑰也會從云備份安全地同步到新手機上，讓你可以從舊設(shè)備停止的地方繼續(xù)使用。”

蘋果和微軟也有云備份解決方案，用戶可以使用這些平臺從丟失的移動設(shè)備中恢復(fù)。但Bellovin表示，這在很大程度上取決于管理此類云系統(tǒng)的安全性。

“在未經(jīng)授權(quán)的情況下將另一臺設(shè)備的公鑰添加到帳戶中有多容易？” Bellovin想知道。“我認(rèn)為他們的協(xié)議讓這變得不可能，但其他人不同意我的看法?！?/p>

加州大學(xué)伯克利分校計算機科學(xué)系講師Nicholas Weaver表示，對于“丟失手機和密碼”的情況，網(wǎng)站仍然需要一些恢復(fù)機制，他稱這是“一個很難解決的問題，已經(jīng)是我們當(dāng)前系統(tǒng)中最大的弱點之一”。

“如果你忘記密碼，丟失了手機，并且可以找回它，這將成為攻擊者的巨大目標(biāo)?！?nbsp;Weaver在一封電子郵件中表示。“如果你忘記密碼丟失手機而且不能找回，那么現(xiàn)在你已經(jīng)丟失了用于登錄的授權(quán)令牌。它必須是后者。蘋果擁有支持它的基礎(chǔ)設(shè)施（iCloud 鑰匙串），但尚不清楚谷歌是否支持?！奔幢闳绱?，他表示，整體 FIDO 方法一直是提高安全性和可用性的絕佳工具。

“這是向前邁出的非常好的一步，我很高興看到這一點，”Weaver表示，“利用手機的強大身份驗證功能（如果你有一個像樣的密碼）非常好。至少對于 iPhone 來說，即使手機受到攻擊，你也可以讓它變得安全牢固，因為它的Secure Enclave技術(shù)可以處理這個問題，而Secure Enclave不信任主機操作系統(tǒng)?！?/p>

科技巨頭們表示，新的無密碼功能將于明年在蘋果、谷歌和微軟平臺上啟用。但專家表示，小型網(wǎng)站可能需要幾年時間才能采用該技術(shù)并完全放棄密碼。

最近的研究表明，仍有很多人重復(fù)使用或回收密碼（稍微修改相同的密碼），當(dāng)這些憑據(jù)最終暴露在數(shù)據(jù)泄露中時，將會帶來帳戶被入侵的風(fēng)險。網(wǎng)絡(luò)安全公司SpyCloud 在3 月的一份報告中發(fā)現(xiàn)，64% 的用戶在多個帳戶中重復(fù)使用同一密碼，而且在之前的入侵中泄露的密碼，有70% 仍在使用中。