三家科技巨頭與快速在線身份識別(FIDO)共同合作,希望創造一個無密碼世界,解決人們忘記密碼的問題。
隨著人們日常中經常需要輸入的密碼越來越多,不少人經常忘記密碼,甚至選擇使用相同密碼防止忘記。因此,三家科技巨頭與FIDO共同合作,希望創造一個無密碼世界,解決人們經常忘記密碼的問題。
蘋果、谷歌、微軟、快速在線身份識別(Fast IDentity Online,FIDO)和全球資訊網聯盟(World Wide Web Consortium,W3C)今年5月聯合宣布一項計劃,將共同創建一個通用的無密碼登錄標準。
FIDO希望推動更簡單、更強大的身份驗證標準和網絡識別標準,並以公開密鑰加密(Public Key Cryptography)方式改變身份驗證模式,拓展身份驗證的相互操作性,同時減少人們對於密碼的依賴。
計劃提到,過往僅依靠密碼進行身份驗證,已經成為網絡上重大的安全問題。再加上消費者需要管理和記住多個密碼,導致不少消費者使用相同的密碼去登入不同的服務。
這種做法可能會付出巨大的代價。當一個帳號被盜用,等於多個帳號面臨被盜用的風險,同時帶來資料和身份外泄等諸多問題。目前使用密碼管理器和傳統的雙重認證方式(手機簡訊和電子郵件驗證),逐漸改善網絡釣魚等問題。
據NordPass的新研究顯示,全球有超過2.9億個數據泄露事件中,有110萬起的密碼泄漏事件,都是使用「123456」作為密碼,這也是全球CEO最常用的密碼之一,泄漏事件影響到的領域有技術、金融、建築、醫療保健等。
跨平台將實現無密碼登入
現在宣布的新計劃,將提供用戶2種全新的功能。這些新功能將允許消費者通過一個金鑰在多個網站、應用程式(App)、設備和平台上,進行無密碼登入,打破過去人們使用無密碼功能時,必須在每個地方進行登入的方式。
第一種新功能,讓使用者在多個裝置(包括全新的裝置)上,自動存取他們在FIDO登入憑證(密鑰或密碼),且每個帳戶無需重新註冊,類似於萬能鑰匙。
第二種新功能,讓使用者在行動裝置上使用FIDO認證,讓附近的裝置能夠登入App或網站,無論這個裝置是執行何種系統(例如,Windows、MacOS、Android和IOS等)或不同的瀏覽器(例如,Safari、Chrome等)依然能夠互通。蘋果、谷歌和微軟平台預計在未來一年內實施這些全新功能。
手機可能成為無密碼平台的媒介
據法國廣播電台(RFI)報導,蒙彼利埃的計算機取證專家和網絡安全普及網站Les Assouyes的編輯蒂博·海寧(Thibaut Henin)指出,「這個想法就是拿手機代替密碼」。具體在FIDO網站上取得一個認證密鑰後,與其它網站進行驗證。
諮詢公司Wavestone的網絡安全專家伯特蘭·卡利爾(Bertrand Carlier)則解釋,使用無密碼的本身,需要有一樣東西進行身份驗證。從技術角度來看,FIDO使用的技術是基於一種非對稱的密碼學系統。
他補充表示,「無密碼執行的原理,就是使用私人和公開密鑰。私人密鑰則存儲在個人手機的晶片當中,而公共密鑰則是使用數字密碼加密到伺服器,當兩種鑰匙組合在一起就能識別用戶身份。有了這些,在身份驗證上就不會出錯。」
電腦防毒軟體公司ESET的全球網絡安全顧問傑克·摩爾(Jake Moore)則對《每日郵報》表示,雖然三家科技巨頭正在鋪這條路,但在密碼安全方面,人們還有許多的工作要做,距離無密碼的普及,還有很長的路。
摩爾補充說,密碼在帳戶安全方面發揮關鍵性的作用,因為它們受到攻擊或破壞時,我們可以很容易進行更改,而不是直接依賴於唯一的設備進行身份識別,例如,智慧型手機或智能手錶上。
他還表示,沒有任何東西可以阻止黑客,他們可能利用查看功能來繞開無密碼登入,就像任何過往使用的新技術一樣,開始看似美好,但未來卻難以預料。
專家:新方式可有效防止黑客
在5月聯合宣布一項計劃中,FIDO聯盟的執行長兼行銷長安德魯·施基爾(Andrew Shikiar)表示,無密碼身份驗證的可行性和普及性,是讓人們大規模採用的關鍵。
接著他表示,「在安全密鑰的應用持續得到發展時,蘋果、谷歌和微軟承諾在其平台和產品上支持這項認證,實現無密碼的目標,而該項新功能提供更全面的選項,防止那些釣魚(假)的認證方式。」
美國網路安全與基礎設施安全局(CISA)局長仁·伊斯特利(Jen Easterly)表示,「這些聯盟和公司率先使用無密碼,讓美國人能以更安全的方式使用網絡。新措施也是網絡安全重要的里程碑,協助我們漸漸脫離傳統的密碼。」
蘋果的平台產品行銷資深總監庫爾特·奈特(Kurt Knight)、谷歌產品管理資深總監馬克·里舍(Mark Risher)和微軟身份認證項目管理副總裁亞歷克斯·西蒙斯(Alex Simons)也提出相似的看法。
法國國防、航天和安全的電子集團達利斯(Thales)身份和訪問管理總監格雷厄姆·威廉士(Grahame Williams)則對《每日郵報》表示,密碼變得「越來越不安全」且「容易被黑客入侵」。現在該行業需要轉向更新的技術,提高自身安全性和保護用戶數據。
