作为保护用户个人财产的“武器”,密码已经是每个人都需要的。但绝大多数人其实并没有养成好的密码使用习惯,在著名密码管理服务公司NordPass每年发布的“全球最常用密码200强名单”中,“123456”的榜首位置多年来一直不可动摇。很多人使用“123456”是因为密码真的很简单,很容易记住,但它也带来了安全风险。如果是这样,为什么不放弃旧的密码呢?
在今年的世界密码日5月5日,科技巨头苹果、谷歌和微软联合宣布,他们将进一步扩大对快速身份联盟在线和万维网联盟创建的无密码登录通用标准的支持。这些巨头承诺在未来一年内,在所有移动,PC和浏览器平台上为用户提供统一,安全,方便的保密免费登录。这些科技巨头之所以要搞“无密码”,最直接的原因其实是现有的账号密码认证体系不能适应时代的发展。据相关统计数据显示,密码现在已经成为大多数企业和消费者账户的切入点,微软透露每秒约发生579次密码攻击,每年有超过18亿个账户的密码被黑客入侵。毕竟,对于黑客来说,暴力破解和字典攻击是两种最常见的攻击方法,暴力破解,正如名称所暗示的,是在给定长度上尝试各种字符的组合,受益于大量的计算能力,字典攻击是根据用户习惯设置的密码,收集和使用。它写在“通用密码库”中。
由于“123456”、“abcdefg”等简单的数字或字母组成的密码过于脆弱,互联网平台的密码要求也越来越复杂,密码包含多个符号、数字和大小写,虽然禁止使用以前的密码,但对用户记忆和管理密码非常不方便。毕竟,密码是证明“我就是我”的工具,要证明“我就是我”,你不需要仅仅依靠密码、指纹、虹膜等生物识别技术、U盾、安全令牌等物理设备。当然,没有密码也不是没有密码,微软、谷歌和苹果真正想要的是一种新的身份验证方法来取代现有的帐户密码系统。具体而言,微软等供应商在FIDO框架下允许用户在多个设备(包括新设备)上自动访问FIDO登录证书,而无需重新注册每个帐户。同时,用户可以在移动设备上使用FIDO身份验证,从附近的设备登录应用程序和网站,而不考虑操作系统或浏览器。根据FIDO协议,无密码身份验证有两种方法:一个是通用身份验证框架(以下简称UAF),另一个是通用双因素身份验证框架(以下简称U2F)
UAF是指指纹、语音、虹膜、人脸识别等生物识别方法,利用每个用户唯一的生物识别来证明“我就是我”,这种解决方案目前在各个领域都有着大规模的应用。然而,生物识别技术在很大程度上依赖于硬件设备,因此它并不通用。U2F是一种双因素身份验证,这是iOS用户和游戏玩家不熟悉的身份验证机制。这需要额外的设备来接收实时认证码,如“登录”,除了密码外,还有网上银行U盾、Steam代币等,但这种模式的缺点是有很大的局限性,登录往往可以提供产品。
对于微软、谷歌和苹果这三大制造商来说,毫无疑问,它是解决UAF和U2F缺陷的最佳人选。其中,微软有Windows和它背后的PC平台,谷歌有Android和Chrome浏览器,苹果有iOS操作系统和iPhone等硬件设备,这三家厂商的业务完全覆盖了地球上主流人群,进入互联网世界的入口。UAF生物识别技术需要设备支持,但它可以在运行Microsoft Windows的PC、运行Android的智能手机以及苹果iPhone、iPad和Mac上进行。虽然U2F“登录”有限制,但微软帐户、谷歌帐户和苹果ID绝对是现成的登录。
事实上,我们在很多应用中经常看到的“微信登录”、“QQ登录”、“支付宝登录”或“本地号码一键登录”并不奇怪,但这些登录方式的实现是不需要输入密码,本质上是没有密码的登录。简单地说,如果微软、谷歌、苹果推广的无密码登录完全普及,用户实际面临的场景可能会超出正常登录界面,甚至会出现“Apple ID/Google Account/Microsoft Account”登录选项。这意味着让这三家供应商有权让领先的网站和应用程序验证用户的身份,并信任这些第三方的结果。
在苹果、谷歌和微软看来,自己的服务器是一个坚实的汤,是为节省整个互联网行业存储用户凭证的运营成本而采取的有力措施。事实上,在目前的账号密码系统中,服务于用户的每个网站和应用程序基本上都将用户的账号密码存储在服务器上,但是中小厂商和个人开发者在网络安全方面的投入自然不如这些大公司,并经历了过去的用户信息泄露事件。它基本上是一个中小型平台。是的,这三家科技巨头都公开支持没有密码的做法。事实上,在“对用户好”的旗帜下,它正在扩大其影响力。对于中小企业来说,这些巨头提供的无密码登录可以有效降低用户门槛,获取用户关系链,扩大用户规模,缩短从冷启动到数百万甚至数千万用户的路径。但是,对于小型企业来说,能够访问他们创建的无密码系统,这不仅意味着他们将成为微软、苹果和谷歌的认证开发人员,而且还为他们提供用户信息打开了大门。
更重要的是,一旦用户养成了使用无密码登录服务的习惯,就会把这些用户完全捆绑在一起,而在流量增长红利已不复存在的市场环境下,这无疑是用户的武器。从某种意义上说,原本的游戏渠道,就是这些科技巨头为中小企业提供的无密码登录服务。唯一剩下的问题是,用户更有可能接触到无密码服务,但这些科技巨头将如何说服该行业,相信他们有良好的意图呢?