蘋果、谷歌和微軟近日宣布，他們將很快支持一種完全避免使用密碼的身份驗(yàn)證方法，用戶只需解鎖智能手機(jī)即可登錄網(wǎng)站或在線服務(wù)。專家表示，這些改變將有助于抵御多種類型的網(wǎng)絡(luò)釣魚攻擊，并減輕互聯(lián)網(wǎng)用戶的整體密碼負(fù)擔(dān)。但值得注意的是，對(duì)于大多數(shù)網(wǎng)站來(lái)說(shuō)，可能還需要數(shù)年時(shí)間才能真正迎來(lái)無(wú)密碼時(shí)代。

這些科技巨頭是行業(yè)主導(dǎo)密碼革新工作的一部分，這些密碼很容易被忽視，經(jīng)常被惡意軟件和網(wǎng)絡(luò)釣魚攻擊竊取，或者在企業(yè)數(shù)據(jù)泄露后被曝光并被在線出售。

蘋果、谷歌和微軟是快速在線身份認(rèn)證（FIDO）聯(lián)盟和萬(wàn)維網(wǎng)聯(lián)盟(W3C)制定的無(wú)密碼登錄標(biāo)準(zhǔn)的積極貢獻(xiàn)者。過(guò)去十年，這些組織與數(shù)百家科技公司合作開(kāi)發(fā)一種新的登錄標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)可兼容多個(gè)瀏覽器和操作系統(tǒng)。

據(jù) FIDO 聯(lián)盟介紹，用戶將能夠通過(guò)每天多次解鎖設(shè)備的相同操作來(lái)登錄網(wǎng)站——包括設(shè)備 PIN 碼、指紋以及面部識(shí)別等生物特征。

該聯(lián)盟在 5 月 5 日寫道：“與密碼和傳統(tǒng)的多因素認(rèn)證技術(shù)（例如通過(guò)短信發(fā)送的一次性密碼）相比，這種新方法可以防止網(wǎng)絡(luò)釣魚攻擊，使登錄從根本上更加安全?！?/p>

谷歌安全認(rèn)證主管兼 FIDO 聯(lián)盟主席Sampath Srinivas表示，在新系統(tǒng)下，你的手機(jī)將存儲(chǔ)一個(gè)名為“密碼”的 FIDO 憑證，用于解鎖你的在線帳戶。

“密碼使登錄更加安全，因?yàn)樗诠€加密，并且僅在你解鎖手機(jī)時(shí)才會(huì)顯示在您的在線帳戶中，”Srinivas 寫道?！耙谀愕碾娔X上登錄網(wǎng)站，只需將手機(jī)放在附近，系統(tǒng)就會(huì)提示你解鎖以進(jìn)行訪問(wèn)。完成此操作后，將不再需要手機(jī)，只需解鎖電腦即可登錄。”

蘋果、谷歌和微軟已經(jīng)支持這些無(wú)密碼標(biāo)準(zhǔn)（例如“使用 Google 登錄”），但用戶需要在每個(gè)網(wǎng)站上登錄才能使用無(wú)密碼功能。在這個(gè)新系統(tǒng)下，用戶將能夠在許多設(shè)備上自動(dòng)訪問(wèn)他們的密鑰，無(wú)需重新注冊(cè)每個(gè)帳戶，可以用他們的移動(dòng)設(shè)備登錄附近設(shè)備上的應(yīng)用或網(wǎng)站。

SANS 技術(shù)研究所研究主任Johannes Ullrich稱該聲明是“迄今為止解決身份驗(yàn)證挑戰(zhàn)最有希望的嘗試”。

“該標(biāo)準(zhǔn)最重要的部分是它不需要用戶購(gòu)買新設(shè)備，而是可以使用他們已經(jīng)擁有并會(huì)使用的設(shè)備來(lái)用作身份驗(yàn)證?！盪llrich 說(shuō)。

哥倫比亞大學(xué)計(jì)算機(jī)科學(xué)教授、早期互聯(lián)網(wǎng)研究者和先驅(qū)Steve Bellovin 稱，這種無(wú)密碼嘗試是身份驗(yàn)證領(lǐng)域的“巨大進(jìn)步”，但他還表示，許多網(wǎng)站需要很長(zhǎng)時(shí)間才能趕上這種變革。

Bellovin 等人表示，在這種新的無(wú)密碼身份驗(yàn)證方案中，存在一個(gè)潛在的棘手場(chǎng)景，即當(dāng)有人丟失或損壞移動(dòng)設(shè)備時(shí)，他們無(wú)法追回 iCloud 密碼時(shí)會(huì)是什么情況。

“我擔(dān)心那些買不起額外設(shè)備，或者無(wú)法輕易更換損壞或被盜設(shè)備的人，”Bellovin 說(shuō)，“我擔(dān)心云帳戶密碼遺忘的恢復(fù)問(wèn)題?！?/p>

谷歌表示，即使你的手機(jī)丟失了，“你的密鑰也會(huì)從云備份安全地同步到新手機(jī)上，讓你可以從舊設(shè)備停止的地方繼續(xù)使用?！?/p>

蘋果和微軟也有云備份解決方案，用戶可以使用這些平臺(tái)從丟失的移動(dòng)設(shè)備中恢復(fù)。但Bellovin表示，這在很大程度上取決于管理此類云系統(tǒng)的安全性。

“在未經(jīng)授權(quán)的情況下將另一臺(tái)設(shè)備的公鑰添加到帳戶中有多容易？” Bellovin想知道?！拔艺J(rèn)為他們的協(xié)議讓這變得不可能，但其他人不同意我的看法。”

加州大學(xué)伯克利分校計(jì)算機(jī)科學(xué)系講師Nicholas Weaver表示，對(duì)于“丟失手機(jī)和密碼”的情況，網(wǎng)站仍然需要一些恢復(fù)機(jī)制，他稱這是“一個(gè)很難解決的問(wèn)題，已經(jīng)是我們當(dāng)前系統(tǒng)中最大的弱點(diǎn)之一”。

“如果你忘記密碼，丟失了手機(jī)，并且可以找回它，這將成為攻擊者的巨大目標(biāo)?！?nbsp;Weaver在一封電子郵件中表示?！叭绻阃浢艽a丟失手機(jī)而且不能找回，那么現(xiàn)在你已經(jīng)丟失了用于登錄的授權(quán)令牌。它必須是后者。蘋果擁有支持它的基礎(chǔ)設(shè)施（iCloud 鑰匙串），但尚不清楚谷歌是否支持?！奔幢闳绱?，他表示，整體 FIDO 方法一直是提高安全性和可用性的絕佳工具。

“這是向前邁出的非常好的一步，我很高興看到這一點(diǎn)，”Weaver表示，“利用手機(jī)的強(qiáng)大身份驗(yàn)證功能（如果你有一個(gè)像樣的密碼）非常好。至少對(duì)于 iPhone 來(lái)說(shuō)，即使手機(jī)受到攻擊，你也可以讓它變得安全牢固，因?yàn)樗腟ecure Enclave技術(shù)可以處理這個(gè)問(wèn)題，而Secure Enclave不信任主機(jī)操作系統(tǒng)?！?/p>

科技巨頭們表示，新的無(wú)密碼功能將于明年在蘋果、谷歌和微軟平臺(tái)上啟用。但專家表示，小型網(wǎng)站可能需要幾年時(shí)間才能采用該技術(shù)并完全放棄密碼。

最近的研究表明，仍有很多人重復(fù)使用或回收密碼（稍微修改相同的密碼），當(dāng)這些憑據(jù)最終暴露在數(shù)據(jù)泄露中時(shí)，將會(huì)帶來(lái)帳戶被入侵的風(fēng)險(xiǎn)。網(wǎng)絡(luò)安全公司SpyCloud 在3 月的一份報(bào)告中發(fā)現(xiàn)，64% 的用戶在多個(gè)帳戶中重復(fù)使用同一密碼，而且在之前的入侵中泄露的密碼，有70% 仍在使用中。