蘋果谷歌微軟宣布 將聯合推廣無密碼登錄技術

谷歌則在官方博客中解釋道，無密碼登錄可以讓用戶將手機作為主要驗證設備，從而使用應用、網站和其他數字服務。無論用什麽方式解鎖手機（包括PIN碼、繪制圖形和指紋），都將成為默認動作，可以在今後用於登錄網絡服務，而無需輸入密碼。這樣就能使用手機與電腦間共享的“秘鑰”（passkey）來實現解鎖。

這種將登錄信息與物理設備綁定的方式可以同時提高易用性和安全性。取消密碼後，用戶無需記憶覆雜登錄信息，也不會因為在多項服務之間設置相同密碼而降低安全性。而且，由於登錄過程需要物理設備的協助，所以無密碼系統也比傳統的密碼更加難以遠程破解。從來理論上講，將用戶騙至虛假網站騙取密碼的釣魚攻擊將更加難以實現。

微軟安全、合規、身份和隱私副總裁賈卡爾強調了不同平台之間的兼容程度。

“只要將秘鑰存儲在移動設備上，無論設備使用的平台和瀏覽器是什麽，都可以在幾乎任何設備上登錄一款應用或服務。”

他在電子郵件聲明中說：“例如，用戶可以使用蘋果設備上的秘鑰，在運行微軟Windows的設備上登錄谷歌Chrome瀏覽器。”

這種跨平台功能都得益於一套名為FIDO的標準，它使用公鑰加密原則支持許多環境下的無密碼驗證和多因素驗證。一個用戶的手機可以存儲一個獨一無二的FIDO兼容秘鑰，並且只有在手機解鎖的情況下才能用於驗證網站登錄信息。

根據谷歌的博客，秘鑰也可以通過雲端備份輕松同步到新的設備，以防手機丟失。

盡管許多熱門應用已經支持FIDO驗證，但還是需要首先輸入密碼才能配置FIDO，所以用戶依然容易受到釣魚攻擊。

但谷歌安全認證產品管理總監兼FIDO聯盟主席斯里尼瓦斯表示，新的機制已經不再需要首先輸入密碼。

“今天宣布的這個經過擴展的FIDO支持技術，使網站首次可以部署端到端無密碼體驗，具備抵抗釣魚攻擊的安全功能。

“這既包括首次登錄，也包括重覆登錄。當整個行業在2022和2023年全面支持秘鑰後，我們最終就可以擁有完全沒有密碼的互聯網平台。”

文/圖：互聯網