無密碼時代即將到來？蘋果WWDC22演示無密碼登錄規避數據泄露風險

打造無密碼未來。

21世紀經濟報道 實習生羅天恩 記者郭美婷 廣州報道

6月7日凌晨，蘋果2022年全球开發者大會（WWDC）线上舉行，帶來了iOS16、iPad OS16、watchOS 9、MacOS Ventura一系列更新。會上，蘋果演示了不使用密碼的生物識別身份驗證系統萬能鑰匙（Passkeys），並認爲該功能“旨在完全替代密碼成爲下一代登錄憑證。”

近年來，因密碼被盜而導致的數據泄露事件頻發。蘋果一直在與包括谷歌和微軟在內的FIDO（Fast IDentity Online，线上快速身份驗證）行業聯盟合作，確保無密碼登錄能夠跨平臺無縫銜接工作，打造無密碼未來。

"passkeys"功能或結束記憶密碼歷史

蘋果本次發布萬能鑰匙主要爲應對純密碼登錄所帶來的數據泄露風險。

美國審查平臺GoodFirms在2021年一則報告中提出，45.7% 的受訪者重復使用多個站點/應用程序的密碼，52.9%的受訪者與同事、朋友、家人分享他們的密碼，而30%的受訪者因密碼薄弱而經歷過安全漏洞。

科技電信公司Verizon 2022年度數據泄露報告提出，黑客可以通過許多不同的方式獲取用戶的名字和密碼，通過自動化排列個人信息的方式來推斷用戶的個人密碼。黑客還可以通過另一個被黑的網站上，亦或是通過設置釣魚網站鏈接來獲取用戶的密碼。

FIDO聯盟官網數據顯示，密碼泄露是超過80%的數據泄露的根本原因，高達51%的密碼被重復使用，單次密碼重置所需要的平均人工成本高達70美元。

爲解決純密碼登錄所帶來的數據泄露風險，蘋果與多家科技企業合作，並與FIDO進行溝通交流，設立新的身份驗證標準。FIDO聯盟提出將純密碼身份驗證的登錄方式替換爲跨網站和應用程序的安全快速登錄模式。萬能鑰匙就是這種“安全快速登錄模式”下的一項應用。

蘋果在大會中指出，萬能鑰匙通過使用強大的加密技術和設備內置的生物識別技術來確認身份。用戶只需要透過TouchID和FaceID進行身份驗證來創建唯一的數字萬能鑰匙。該萬能鑰匙僅適用於創建它的站點，並存放在本地設備中，永遠不會通過开放的網絡進行傳輸。

蘋果方面表示，“由於萬能鑰匙永遠不會離开用戶的設備，黑客無法誘騙用戶在虛假網站上共享。網站上沒有任何祕密，因此密碼無法泄露。”

無密碼登錄成爲趨勢

無密碼登錄正在成爲商業趨勢。6月6日，密碼管理提供商LastPass宣布加入FIDO無密碼運動。隨後該公司將在其旗艦產品上新增無密碼登錄功能。而就在幾天前，另一個密碼管理軟件1Password也宣布加入FIDO 聯盟，使用戶能夠在沒有密碼的情況下登錄自己的帳戶。

今年5月5日，蘋果、谷歌和微軟就宣布支持由 FIDO 聯盟和萬維網聯盟創建的通用“萬能鑰匙”標準，該標準將使用戶能通過指紋或面部識別技術訪問網站和應用程序。“萬能鑰匙”旨在合作消除現有的數十種繁瑣且有風險的純密碼登錄體系。

谷歌方面表示，谷歌一直在與FIDO聯盟合作，以消除過時的、基於密碼的身份驗證。該公司將在 Chrome、ChromeOS、Android 和其他平臺上提供基於 FIDO聯盟的技術支持，並將鼓勵應用程序和網站开發人員應用這項技術。

微軟身份項目管理公司的相關負責人則強調了“萬能鑰匙”的必要性：“任何可行的解決方案都必須比當今使用的密碼和傳統的多因素身份驗證方法更安全、更容易和更快。”

FIDO面對純密碼登錄提出了相應的解決方案。未來，雅虎、eBay等越來越多的互聯網企業都計劃將參與到無密碼登錄計劃當中。

除推行無密碼登錄外，爲防範數據泄露風險，英國2022年網絡安全漏洞調查顯示，在英國，75%的企業和57%的慈善機構通過確保用戶設置強密碼策略，來防範用戶密碼泄露所帶來的損失。

(作者：郭美婷,實習生羅天恩 編輯：李潤澤子）