来源:三易生活
密码作为一个保护用户个人财产的 " 武器 ",如今早就已经成为了每个人的刚需。然而,绝大多数人其实并没有养成良好的密码使用习惯,在知名密码管理服务公司 NordPass 每年公布的 " 全球 200 个最常用密码榜单 " 里,其中 "123456" 的榜首地位常年未能被撼动。尽管许多人习惯于使用 "123456" 是因为这个密码确实简单好记,但同时这也带来了不小的安全风险。
既然如此,为什么不将密码这一古老的事物淘汰呢?
5 月 5 日,也就是在今年的 " 世界密码日 " 上,科技巨头苹果、谷歌和微软联合宣布将进一步扩大对在线快速身份认证联盟(下文简称为 FIDO)和万维网联盟创建的无密码登录通用标准的支持。这几家巨头承诺,在未来的一年中将致力于在旗下所有移动端、PC 端和浏览器平台上,为用户提供统一、安全、便捷的免密登录方式。
而之所以这些科技巨头要搞 " 无密码 ",最直接的原因其实是现有的账户密码身份认证体系,已经不能适应时代的发展了。
据相关统计显示,密码如今已成为了绝大多数企业和消费者帐户被攻击的切入点,以至于微软方面曾透露,每秒约有 579 次密码攻击发生,每年有超过 180 亿个账号的密码被黑客攻击过。毕竟对于黑客来说,暴力破解和字典攻击是两大最为常用的攻击方式,其中暴力破解顾名思义就是在大量算力的加持下,尝试每一个在给定长度下各种字符的组合,而字典攻击则是根据用户习惯设置的密码,收集起来编写成为 " 常用密码库 "。
由于类似 "123456" 及 "abcdefg" 这种单纯由数字或字母组成的密码过于脆弱,导致互联网平台对于密码的要求已经变得越来越复杂,如今通常会具体到密码中应该包括多个符号、数字、大小写字符,并且会禁止使用以前的密码,但这就使得用户记住和管理密码变得非常不便。
说到底,密码就是一个证明 " 我是我 " 的工具,而要证明 " 我是我 " 其实并非只能依赖密码,指纹、虹膜等生物特质,以及 U 盾、安全令牌等实体设备,同样也可以实现这一目的。
当然,无密码并不等于没有密码,微软、谷歌、苹果所希望的其实是用新的身份验证方式,来取代现有的账号密码体系。
具体来说,微软等厂商是在 FIDO 的框架下,允许用户在多台设备、包括新设备上自动访问 FIDO 登录证书,而不必重新去注册每一个账户。同时,允许用户在移动设备上使用 FIDO 认证,以通过附近的设备登录 APP 或网站,而无论这些设备运行哪一种操作系统或浏览器。按照 FIDO 协议而产生了两种无密码认证的方式,其一是通用认证框架(下文简称为 UAF),其二则是通用双因素认证框架(下文简称为 U2F)。
UAF 就是指纹、语音、虹膜、脸部识别等生物身份识别方式,使用的是每个用户都独一无二的生物特征,来证明 " 我是我 ",并且这一解决方案目前在各领域都已经有了大规模的应用。不过由于生物识别严重依赖于硬件设备,所以通用性相较并不高。
而 U2F 则是双因素验证,这一身份认证机制对于 iOS 用户和游戏玩家来说应该不会陌生。其所指的是在密码之外,还需要一个额外的设备接收实时验证码,例如网银的 U 盾、Steam 令牌等等 " 登录器 ",但这一模式的劣势就是局限性较大,一个登录器往往只能服务一个产品。
对于微软、谷歌、苹果这三大厂商来说,无疑他们就是解决 UAF 或 U2F 弊端的最合适人选。其中,微软有 Windows 以及其背后的 PC 平台,谷歌有 Android 和 Chrome 浏览器,苹果有 iOS 操作系统与 iPhone 等硬件设备,这三大厂商的业务就已经完全覆盖了这个星球主流人群进入互联网世界的入口。
UAF 的生物识别需要设备支持,但搭载微软 Windows 的 PC、使用 Android 的智能手机,以及苹果的 iPhone、iPad 和 Mac 就可以解决。虽然 U2F 的 " 登录器 " 局限性大,但微软账号、谷歌账号、苹果 Apple ID 无疑就是现成的登录器。
事实上,想必大家对于许多 APP 上经常见到的 " 微信登录 "、"QQ 登录 "、" 支付宝登录 ",或 " 本机号码一键登录 " 都不会陌生,这些登录方式的实现过程中也不会需要输入密码,其本质上就是无密码登录。
简单来说,微软、谷歌、苹果推广的无密码登录如果全面普及,用户真实面对的场景可能就是在常规的登录界面之外,还会出现一个 "Apple ID/ 谷歌账号 / 微软账号 " 登录的选项。是让各大网站或 APP 将校验用户身份的权利给予这三大厂商,并信任这些第三方给出的结果。
在苹果、谷歌、微软看来,自家的服务器可谓是固若金汤,用于存储用户的身份认证信息是节约整个互联网行业运行成本的有力举措。并且事实上也确实如此,在目前的账号密码体系下,各个向用户提供服务的网站及 APP 基本都是自己保存用户的账号密码到服务器里,但中小厂商乃至个人开发者对于网络安全的投入自然是不如这些大厂的,而纵观过去的各类用户信息泄露事件,基本也都是中小平台为主。
没错,这三家科技巨头此次公开支持无密码,其实就是在 " 为用户好 " 的大旗下、行扩张自身影响力之实。对于中小企业来说,这些巨头提供的无密码登录可以有效降低用户的使用门槛,能够获取用户的关系链来提升用户规模,缩短从冷启动到百万、千万量级用户的路径。但在此事中,这些科技巨头得到的或许会更多,毕竟中小企业接入到他们所打造的无密码体系中,就意味着需要向他们也打开大门,不仅要成为微软、苹果、谷歌的认证开发者,还需要交出用户信息。
更为重要的是,一旦用户养成了使用无密码登录服务的习惯,就等于将这些用户彻底捆绑在了一起,在当下这个流量增长红利不再的市场环境下,这无疑也是争夺用户的利器。
在某种意义上来说,当初的游戏渠道服之于游戏,就是如今这些科技巨头的无密码登录服务之于中小企业。因此现在剩下的唯一问题就是,就是用户极有可能会对无密码服务举双手赞成,但这些科技巨头要如何让整个业界相信他们是抱着善意而来呢。
