本文来自极客网,作者/小刀。
苹果、谷歌、微软都有一个大计划,它们想淘汰密码。三大科技公司都与FIDO Alliance合作,该组织正在开发新密匙系统,让用户自动登录线上账户,系统用到了基于设备的面部识别和指纹识别技术。你可以将新系统想象成密码管理器,但是没有实际密码。
之所以要淘汰密码,其中一个原因是密码不安全。但淘汰密码的后果同样有些严重,因为你要将数字密匙交给苹果、微软、谷歌,这些科技巨头可以把你进一步捆绑到自己的生态系统之中。FIDO Alliance还没有找到很好的办法来解决捆绑问题。
FIDO想推广“多设备FIDO证书”,大型科技公司管它叫密匙。简单来说是这样的:当你用面部或者指纹解锁设备时,系统可以证明你是谁,然后就可以直接进入App或者网站了。
举个例子,你想在某个社交网站创建账户,你不必设置密码,手机会生成隐藏密匙,安全存放在设备内。社交网站不会存储你的密匙,它从手机中获取认证信息,验证你的身份,让你进入。
这种技术有两个好处,首先,你不必为每一个App记住新密码,也不需要学习如何使用密码管理器;其次,用户不必担心丢失密码。
FIDO Alliance高管Andrew Shikiar说:“我们希望用户从服务器获取密码。”
密匙不必与手机捆绑,苹果、谷歌可以通过云服务同步密匙,你在一台设备上创建账户,在另一台设备也可以快速登录。
听起来FIDO技术和密码管理器没什么区别,苹果谷歌都有类似软件,不同的是FIDO流程中没有实际密码。
Andrew Shikiar说他们提供和密码管理器、浏览器存储密码一样的体验,但是使用的不是现有密码,而是密匙。
如果想在不同生态系统之间批量转移密匙怎么办?Shikiar说:“现在还没有真正的批量转移方法,未来可能会有。”
现在的密码转移还是简单的,浏览器可以做到,密码管理器也可以。FIDO的确有一套应对方案,它允许用户一个一个复制密匙,但如果用户想更换生态系统,这样的方案肯定不安全。
谷歌高管Sam Srinivas说,捆绑不是各企业的目标,大家对互操作很感兴趣。Sam Srinivas强调:“从长远来说捆绑会压制世界的变化,各平台不希望出现这样的局面,捆绑并非各平台本意,大家的本意是想让互联网更安全。”说是这样说,你信吗?
如果所有密匙可以轻松转移,是不是会给黑客留下可乘之机?这是一个大问题,现在还不知道如何解决。
要想防止大平台捆绑用户,有一个办法也许可行:让第三方密码管理器管理密钥。如此一来,用户不必依赖苹果谷歌微软就可以在平台之间轻松跳换。
即使如此,密码管理器也需要大型科技公司支持,因为密码管理器要与大公司各自的操作系统整合。现在的密码管理器可以自动填充密码,但操作时并没有那么流畅。
Bitwarden和1Password是国外比较有名的密码管理器,它们已经加入FIDO Alliance。
苹果谷歌微软希望未来几年全面拥抱无密码登录技术,如果想让各App和网站接受可能还要多等几年。
在今年的WWDC上苹果演示了无密码技术,密钥存储在iCloud Keychain中,可以在苹果设备中利用端到端加密技术实现同步。通过扫描二维码或者利用Face ID验证,用户可以登录到非苹果设备上的应用或者网站。
苹果工程师Garrett Davidson说:“只需要点击一下就能进入,相比今天常见的身份验证技术,它更容易更安全更快。”
据悉,明年苹果、谷歌、微软就会在自己的平台推广FIDO Alliance无密码标准,对此你怎么看?(小刀)
