罕見的統一戰線
總市值超5.39萬億美元的全球科技三巨頭,罕見地放下成見、抱作一團,將槍口對準人類數字生活的虛擬守門人——密碼。
在5月5日的世界密碼日上,蘋果、微軟、谷歌共同承諾,未來一年將在它們控制的所有移動、桌面和瀏覽器平台上建立對無密碼登錄的支持,以打造更安全的個人信息與網際網路環境。
這是一次不容小覷的聯合行動。蘋果占據高端智慧型手機市場的六成分額,谷歌開發的安卓系統覆蓋了70%的全球用戶,微軟則是電腦作業系統領域無可撼動的霸主。
三巨頭聯手,「殺死」密碼勝利在望?罕見的統一戰線
無密碼比密碼更安全,聽起來多少有些反常識。但對很多人來說,無密碼這一概念並不新鮮。
在PC端登錄微信,就是一個簡單直觀的無密碼場景:在PC端點開微信後,手機收到確認信息,然後通過手機認證完成登錄。生活中常常用到的指紋解鎖、掃臉支付等,也可以歸為無密碼技術範疇。
事實上,習慣了自動登錄和手機驗證登錄的用戶,恐怕已經沒有多少人還記得自己的微信密碼。在這種情況下,密碼還有存在的必要嗎?
在普通用戶意識到這個問題之前,蘋果、微軟、谷歌已經為構建一個無密碼的世界探索數年。
在不久前的蘋果全球開發者大會(WWDC2022)上,蘋果公布了一項名為「Passkeys」的新技術。當用戶需要使用某個網站或應用時,iPhone會收到請求,用戶可以直接通過指紋或面容ID在iPhone上進行身份驗證,從而直接登錄。
圖片來源:WWDC發布會
這個過程並不複雜,而且有兩個好處:一是不需要記住密碼,二是整個過程在一部iPhone上就可以完成。這意味著,用戶的任何私密信息都不會被第三方的網絡伺服器儲存和泄露,安全性大大提升。
正如蘋果網際網路技術副總裁Darin Adler所說,Passkeys不會被盜用,因為它永遠不會離開你的設備。
在蘋果之前,微軟與谷歌也早已在無密碼領域布局多年。
早在2017年,微軟就嘗試用Microsoft Authenticator讓用戶免密登錄微軟帳戶。2018年,微軟將這一功能升級並應用在Edge瀏覽器和Windows10系統上。據微軟官方數據,截至2020年5月,每月有1.5億用戶在使用無密碼登入。
2021年,微軟宣布從當年9月15日起,用戶可以完全刪除他們的微軟帳戶密碼,並選擇使用Microsoft Authenticator應用、Windows Hello、安全密鑰等方式認證登錄設備。
谷歌則在2019年宣布,在Android7.0及以上版本中,可調用指紋或面部識別等登錄某些支持的網站。
在「殺死」密碼這件事上,三巨頭罕見地達成了共識。iOS與Android、Windows與MacOS,這次不再為市場份額大打出手,而是要實現互聯互通。
2013年、2015年和2020年,谷歌、微軟、蘋果先後加入FIDO聯盟。FIDO(Fast Identity Online)聯盟即線上快速身份驗證聯盟,是一家由PayPal、聯想等企業於2012年7月成立的非盈利性行業協會,目前成員已擴大至300餘家,其中包括ARM、蘋果、三星、亞馬遜、阿里巴巴、華為、Netflix等知名企業,以及各國政府的標準制定機構和學術團體。
它們共同的敵人,是曾在網際網路歷史上扮演重要角色,但也給人類帶來巨大困擾和安全風險的密碼。
天下苦密碼久矣
從開機密碼、郵箱密碼到各類網站的登錄密碼,密碼幾乎滲透到了生活的每一個角落。記住各種複雜的密碼,則成為人們不得不面對的一大挑戰。牛津大學與萬事達卡聯合進行的一項研究發現,有三分之一在線購物中止,是因為用戶忘記密碼。
密碼管理軟體Nordpass給出的安全密碼建議是,至少12位數,包含大小寫字母、數字及特殊符號,並且每90天要至少更換一次。
達到以上密碼安全建議,且不重複使用密碼,對普通用戶來說無疑是一種負擔。
事實上,多數人對於密碼安全不以為意。
據微軟2016年數據,大約20%的網際網路用戶正在使用重複密碼,另外27%的用戶使用的密碼與其他帳戶密碼幾乎完全相同。到2018年,仍然有很大一部分網際網路用戶偏愛弱密碼,而不是安全密碼。
Nordpass公布的2021年最常用密碼榜單顯示,「123456」出現了超過1.03億次,只需要不到一秒鐘就能破解。據FIDO官網數據,80%的數據泄露是由密碼造成,多達51%的密碼被重複使用,而重置一次密碼的平均人力成本是70美元。
圖片來源:Nordpass網站
一面是多數密碼形同虛設,另一面是密碼本身的安全缺陷遠比人們想像中更大。
據路透社報導,2020年6月,世界著名網絡安全組織Awake Security發布的一份公開報告指出,谷歌公司旗下的瀏覽器Chrome存在嚴重漏洞,使上千萬用戶的個人資料遭黑客竊取。經統計,惡意的後台程序至少被下載了3200萬次,這意味著3200萬用戶的密碼很有可能已被黑客竊取。
2014年9月,蘋果的iCloud遭到黑客攻擊,導緻密碼泄露,大約200位名人明星的私密照片在網際網路上傳播。
2018年,由於蘋果在線商城和手機保險公司Asurion網站存在的漏洞,造成約7200萬 T-Mobile營運商用戶的密碼泄露。
日益嚴峻的密碼安全問題不僅給個人和企業帶來風險,甚至可能威脅國家安全。
據中國網絡安全審查技術與認證中心發布的信息,來自AntiSec組織的攻擊者曾向美國政府軍方承包商 Booz Allen Hamilton進行攻擊,並發布9萬個美國軍方電子郵件地址和密碼,包括美國中央司令部、特種作戰司令部、海軍陸戰隊、空軍部隊以及國土安全局的帳戶密碼。
天下苦密碼久矣。面對層出不窮的密碼安全事故與隱患,蘋果、微軟、谷歌亟需將更安全、更高效的無密碼技術推向前台。
2022年,FIDO聯盟的技術革新加速了這一進程。
在5月5日的世界密碼日上,三巨頭聯合宣布擴展對免密碼登錄通用標準的支持,預計在未來一年內解決跨平台認證的痛點。
與以往不同的點在於,此次FIDO在跨平台運行上取得了兩個新的突破。一是允許用戶在多台設備、包括新設備上自動訪問FIDO登錄證書,而不必重新註冊每個帳戶;二是允許用戶在行動裝置上使用FIDO認證,以通過附近的設備登錄App和網站,無論這些設備運行哪種作業系統平台或使用哪種瀏覽器。
一個月後,蘋果率先在WWDC交出了第一份答卷。Passkeys不僅支持蘋果全家桶中的iPhone、iPad、Mac、Apple TV間跨設備認證,同時用戶也可以用iPhone解鎖FIDO聯盟中的其他非蘋果產品。
但「殺死」密碼,沒那麼容易。
「殺死」密碼不容易
上世紀40年代,為破譯德軍密碼,英國研製出了大型電子運算裝置科羅薩斯(Colossus),這是人類歷史上第一台可編程的計算機。計算機因破解密碼而生,並隨後孕育了網際網路。
80年後,網際網路誕下的科技巨子們卻要「殺死」密碼,打造一個更方便、更安全的無密碼世界。這是一個無比艱巨的任務。
比計算機還要年長的密碼,早已滲透到生活中的各個角落。「殺死」密碼,不止是技術升級,也是改變一種生活習慣,而這並不容易。正如FIDO聯盟的執行董事、CMO Andrew Shikiar所說:「幾乎所有用戶要做的第一件事就是設置密碼,我們需要做的是打破這種習慣。」
2020年,Windows10的活躍用戶數量首次突破10億。而當年5月微軟公布的每月無密碼登入使用人數是1.5億,只有約15%。此時,距離微軟在Windows10上推廣無密碼登錄已經過去近兩年。
除了用戶習慣難以在短時間內被改變外,橫亘在三巨頭面前的另一座高牆是:若要實現無密碼登錄,首先要擁有一部智慧型手機。
據Strategy Analytics統計,截至2021年,全球有39.5億人用上了智慧型手機,普及率約為50%。此外,並非所有智慧型手機都能運行無密碼技術。蘋果即將推出的Passkeys需要更新iOS16版本才能使用,而iPhone SE2016、iPhone7之前的老款手機均無法獲取iOS16的更新。
這意味著,如果在全球範圍內推廣無密碼登錄,現時將會有至少一半的人無法使用。
此外,雖然FIDO聯盟在跨平台應用上取得了進展,但跨平台的密鑰轉移依舊是一大痛點。簡單來說,雖然蘋果手機可以在FIDO框架下解鎖非蘋果產品,但當用戶更換成安卓手機後,保存在終端上的密鑰也需要批量轉移。
專注於報導蘋果新聞的外媒9to5Mac表示,FIDO目前提供的解決方案,還無法在不同生態系統之間批量傳輸密鑰。如果想從Android手機切換到iPhone(反之亦然),用戶將無法移動所有密鑰。相比之下,密碼則更容易轉移。
正如蘋果網際網路技術副總裁Darin在WWDC上描述的一樣,脫離密碼的轉型是一場旅程。在這場旅行中,不僅需要蘋果、谷歌、微軟,也需要全球的企業和用戶共同參與其中。
2022年歷史的車輪格外喧囂,iPod、IE瀏覽器、中國區Kindle先後被無情碾過。如今,密碼也看到了遠處揚起的沙塵。只是這次,科技巨頭「三英戰呂布」,密碼還遠未見到白門樓。
