FIDO联盟的“无密码愿望”
开头也提到 ， 不单是苹果 ， 许多互联网公司也在推行无密码登陆 ， 而这些公司背后都牵连到一家名为FIDO（FastIDentityOnline ， 线上快速身份验证）的技术联盟 。也正是在今年5月8日的“世界密码日”上 ， 苹果、微软、谷歌三家科技巨头表示 ， 他们将“在未来一年内”开始推出基于FIDO标准的技术 。
FIDO标准究竟为何物？
简单来说 ， 和苹果推行无密码的思路并无二异 ， 即“生物认证框架”与“双因素认证标准” ， 但除这两点以外 ， FIDO联盟还强调不同设备与不同App、系统生态之间的互联 。

文章图片

文章图片

换句话说 ， 在FIDO联盟的规范下 ， 不同厂商之间的硬件设备与软件只需一套加密方法即可实现登录 。
FIDO将这种加密方法称之为“私钥-公钥” ， 私钥在设备端 ， 而上传到服务器里的则为公钥（账号） 。这个私钥可以是指纹 ， 也可以是面部信息 ， 或者单纯就是一个硬件设备 。
总之 ， 原先的密码已经被私钥取代 。

文章图片

文章图片

我们以Passkeys为例 ， 识别私钥的方式便是支持TouchID或是FaceID的设备 ， 先是通过公钥加密验证登录网站和应用程序的用户身份 ， 随即向手机发送认证请求验证私钥 ， 两步都完成验证后即可完成登录 。
虽然目前Passkeys功能仍需要iCloud钥匙串的支持 ， 但未来完全可以用随机的密钥取代 。
微软和谷歌的方案与苹果也类似 ， 他们分别推出各自的Authenticator验证器App ， 当在不同的设备上登录账号时 ， 用户只需要在App上进行批准即可通过验证 。
不过和iCloud钥匙串一样 ， 目前这些Authenticator验证器还停留在“密码填充”的阶段 ， App的功能只是相当于“密码保险箱” ， 只不过降低了输入密码时泄露的风险 。
除了解决密码输入的问题 ， FIDO联盟更希望解决多设备和跨平台的限制 。
根据FIDO白皮书的描述 ， 未来将允许用户通过一个现有设备作为硬件令牌 ， 无论iOS、安卓 ， 还是Windows ， 都可以进行互通：“我们希望认证器供应商在他们的认证器实现中做出这一改变 。”
或许在FIDO的设想里 ， 为了无论iOS还是安卓 ， 只需一台设备都能相互解锁 。

文章图片

文章图片

“无密码时代”真的能实现吗？
FIDO联盟在其官网显示 ， 密码泄露是超过80%数据泄露的根本原因 ， 更是有高达51%的密码被重复使用 。
另据美国审查平台GoodFirms在2021年的一则报告中提出 ， 45.7%的受访者表示他们会在多个站点或者应用程序使用重复的密码 ， 52.9%的受访者与同事、朋友、家人分享他们的密码 ， 同时有30%的受访者表示因为密码薄弱而经历过安全漏洞 。
不仅用户成了密码泄露的受害者 ， 厂商同时也为如何保护隐私密码安全而犯难 。
因此这些互联网公司推行“无密码登录”本意希望减少数据泄露风险 ， 用户也能从中受益 。

文章图片

文章图片

但想真正告别纯密码登录体系进入“无密码时代” ， 还需要一段时间 。
首先 ， 目前几家科技巨头推出的方案本质上还是一种“密码保管器”：如何找到一种安全的密钥生成方式 ， 这是科技巨头们下一步的工作重点 。