苹果“无密码”革命,如何实现隐私安全?

一年前的苹果全球开发者大会(WWDC)上 , 苹果展示了一种基于“iCloud钥匙串”的无密码登录技术 , 当用户使用Safari浏览器时 , 可以直接通过生物识别方式填写保存的密码 。
在本周的WWDC上 , 苹果继续将此项技术完善 , 并将其命名为“Passkeys”(万能密码):用户无需复杂的组合密码 , 甚至不需要验证码 , 仅需一组储存在设备端的数字密钥即可完成相应网站或App的登陆 。
苹果“无密码”革命,如何实现隐私安全?
文章图片

文章图片

不单是苹果 , 其他互联网公司同样也开始在自家设备或平台上尝试“无密码登录” , 包括谷歌、微软、雅虎等公司均提出了相应的解决方案 , 目的就是取代传统的“纯密码登录” 。
用业内人士的话来说 , 纯密码就是“20世纪的遗产” , 黑客可能很容易盗取密码;而站在用户的角度来看 , 绞尽脑汁想出的组合密码经常就会遗忘 。
那么这场“无密码”的革命 , 真的能开启隐私安全的“新时代”吗?
苹果如何实现无密码?
曾经 , 苹果也因为“密码泄露”焦头烂额 。
2014年9月 , 苹果的iCloud遭到黑客攻击 , 大约200位名人明星的私密照片在互联网上传播 , 引来众多网友吃瓜 。
其中一位黑客使用的方法十分简单 , 通过广撒网的钓鱼邮件 , 该黑客轻松获取了受害者的账号与密码 , 并且由于苹果当时没有设置必要的验证机制 , 因此他可以直接通过密码就进入这些账号 。
苹果“无密码”革命,如何实现隐私安全?
文章图片

文章图片

这次事件让苹果被推到舆论的风口浪尖 , 一些受害的名人甚至直接在社交平台上说出“thanksApple”这样嘲讽的话 。此后 , 苹果开始鼓励用户采用双因素认证 , 该技术通过基于时间、事件和密钥产生的一次性密码来代替传统的静态密码 , 可以一定程度上避免未经授权的登录行为 。
但这种“强加”的两步认证依然可以通过暴力验证、修改IP地址等方式进行破解 , 并且复杂的操作还被用户起诉干扰了设备的正常使用 。不过在没有更好的方案之前 , 双重认证依然是保护账户安全的有效方法 。
苹果“无密码”革命,如何实现隐私安全?
文章图片

文章图片

既然任何输入方式都存在被破解的风险 , 苹果干脆选择了押注生物识别方案 。无论是过去基于指纹的TouchID还是当下最主流的FaceID , 这种不需要频繁输入密码的登录方式使得登陆iCloud等苹果旗下的软件更加方便 , 同时更加安全 。
事实上 , 最早的TouchID只能用于屏幕解锁 。但之后随着iOS8的发布、ApplePay的面世 , 以及苹果TouchIdAPI的开放 , ApplePay逐渐与TouchID的结合 , 成为第三方支付的手段之一 , 同时让TouchID也成了保护密码的重要手段 。
到了FaceID时代 , 得益于深感摄像头和3D结构光技术 , 认证方法则更为安全 。
苹果“无密码”革命,如何实现隐私安全?
文章图片

文章图片

但和双重认证一样 , 即使已经做到了绝对安全 , 但FaceID同样无法取代密码问题 。
首先用户仍然需要使用密码才能登录AppleID、iCloud等功能 。其次作为重要的一点 , 并不是所有的第三方生态都支持FaceID登录 , 如果用户尝试跨平台(例如安卓、Windows)或者跨设备(例如Mac系列产品) , 仍然需要密码登陆 。
或许这就是苹果希望推行“无密码技术”的原因 。