蘋果、微軟、谷歌不再打架,今年要合力幹件大事

Jun_23_2022_22_09_50_https___web_popo8_com_202206_23_8_da2b197621type_jpeg_size_.jpeg

罕見的統一戰線

總市值超5.39萬億美元的全球科技三巨頭,罕見地放下成見、抱作一團,將槍口對準人類數字生活的虛擬守門人——密碼。

在5月5日的世界密碼日上,蘋果、微軟、谷歌共同承諾,未來一年將在它們控制的所有移動、桌面和瀏覽器平台上建立對無密碼登錄的支持,以打造更安全的個人信息與互聯網環境。

這是一次不容小覷的聯合行動。蘋果佔據高端智慧型手機市場的六成份額,谷歌開發的安卓系統覆蓋了70%的全球用戶,微軟則是電腦操作系統領域無可撼動的霸主。

三巨頭聯手,「殺死」密碼勝利在望?

無密碼比密碼更安全,聽起來多少有些反常識。但對很多人來說,無密碼這一概念並不新鮮。

在PC端登錄微信,就是一個簡單直觀的無密碼場景:在PC端點開微信後,手機收到確認信息,然後通過手機認證完成登錄。生活中常常用到的指紋解鎖、掃臉支付等,也可以歸為無密碼技術範疇。

事實上,習慣了自動登錄和手機驗證登錄的用戶,恐怕已經沒有多少人還記得自己的微信密碼。在這種情況下,密碼還有存在的必要嗎?

在普通用戶意識到這個問題之前,蘋果、微軟、谷歌已經為構建一個無密碼的世界探索數年。

在不久前的蘋果全球開發者大會(WWDC 2022)上,蘋果公佈了一項名為「Passkeys」的新技術。當用戶需要使用某個網站或應用時,iPhone會收到請求,用戶可以直接通過指紋或面容ID在iPhone上進行身份驗證,從而直接登錄。

201184a0-e5d0-11ec-aeff-435b8eed845b.jpeg
圖片來源:WWDC發佈會

這個過程並不複雜,而且有兩個好處:一是不需要記住密碼,二是整個過程在一部iPhone上就可以完成。這意味著,用戶的任何私密信息都不會被第三方的網絡服務器儲存和洩露,安全性大大提升。

正如蘋果互聯網技術副總裁Darin Adler所說,Passkeys不會被盜用,因為它永遠不會離開你的設備。

在蘋果之前,微軟與谷歌也早已在無密碼領域佈局多年。

早在2017年,微軟就嘗試用Microsoft Authenticator讓用戶免密登錄微軟賬戶。2018年,微軟將這一功能升級並應用在Edge瀏覽器和Windows 10系統上。據微軟官方數據,截至2020年5月,每月有1.5億用戶在使用無密碼登入。

2021年,微軟宣佈從當年9月15日起,用戶可以完全刪除他們的微軟賬戶密碼,並選擇使用Microsoft Authenticator應用、Windows Hello、安全密鑰等方式認證登錄設備。

谷歌則在2019年宣佈,在Android 7.0及以上版本中,可調用指紋或面部識別等登錄某些支持的網站。

在「殺死」密碼這件事上,三巨頭罕見地達成了共識。iOS與Android、Windows與MacOS,這次不再為市場份額大打出手,而是要實現互聯互通。

2013年、2015年和2020年,谷歌、微軟、蘋果先後加入FIDO聯盟。FIDO(Fast Identity Online)聯盟即線上快速身份驗證聯盟,是一家由PayPal、聯想等企業於2012年7月成立的非盈利性行業協會,目前成員已擴大至300余家,其中包括ARM、蘋果、三星、亞馬遜、阿里巴巴、華為、Netflix等知名企業,以及各國政府的標準制定機構和學術團體。

它們共同的敵人,是曾在互聯網歷史上扮演重要角色,但也給人類帶來巨大困擾和安全風險的密碼。

天下苦密碼久矣

從開機密碼、郵箱密碼到各類網站的登錄密碼,密碼幾乎滲透到了生活的每一個角落。記住各種複雜的密碼,則成為人們不得不面對的一大挑戰。牛津大學與萬事達卡聯合進行的一項研究發現,有三分之一在線購物中止,是因為用戶忘記密碼。

密碼管理軟件Nordpass給出的安全密碼建議是,至少12位數,包含大小寫字母、數字及特殊符號,並且每90天要至少更換一次。

達到以上密碼安全建議,且不重復使用密碼,對普通用戶來說無疑是一種負擔。

事實上,多數人對於密碼安全不以為意。

據微軟2016年數據,大約20%的互聯網用戶正在使用重復密碼,另外27%的用戶使用的密碼與其他帳戶密碼幾乎完全相同。到2018年,仍然有很大一部分互聯網用戶偏愛弱密碼,而不是安全密碼。

Nordpass公佈的2021年最常用密碼榜單顯示,「123456」出現了超過1.03億次,只需要不到一秒鐘就能破解。據FIDO官網數據,80%的數據洩露是由密碼造成,多達51%的密碼被重復使用,而重置一次密碼的平均人力成本是70美元。

Jun_23_2022_22_09_51_https___web_popo8_com_202206_23_11_67c9d6050btype_png_size_.jpeg
圖片來源:Nordpass網站

一面是多數密碼形同虛設,另一面是密碼本身的安全缺陷遠比人們想象中更大。

據路透社報導,2020年6月,世界著名網絡安全組織Awake Security發佈的一份公開報告指出,谷歌公司旗下的瀏覽器Chrome存在嚴重漏洞,使上千萬用戶的個人資料遭黑客竊取。經統計,惡意的後台程序至少被下載了3200萬次,這意味著3200萬用戶的密碼很有可能已被黑客竊取。

2014年9月,蘋果的iCloud遭到黑客攻擊,導致密碼洩露,大約200位名人明星的私密照片在互聯網上傳播。

2018年,由於蘋果在線商城和手機保險公司Asurion網站存在的漏洞,造成約7200萬 T-Mobile運營商用戶的密碼洩露。

日益嚴峻的密碼安全問題不僅給個人和企業帶來風險,甚至可能威脅國家安全。

14755668.jpeg

來自AntiSec組織的攻擊者曾向美國政府軍方承包商Booz Allen Hamilton進行攻擊,併發布9萬個美國軍方電子郵件地址和密碼,包括美國中央司令部、特種作戰司令部、海軍陸戰隊、空軍部隊以及國土安全局的賬戶密碼。

面對層出不窮的密碼安全事故與隱患,蘋果、微軟、谷歌亟需將更安全、更高效的無密碼技術推向前台。

2022年,FIDO聯盟的技術革新加速了這一進程。

在5月5日的世界密碼日上,三巨頭聯合宣佈擴展對免密碼登錄通用標準的支持, 預計在未來一年內解決跨平台認證的痛點。

與以往不同的點在於,此次FIDO在跨平台運行上取得了兩個新的突破。一是允許用戶在多台設備、包括新設備上自動訪問FIDO登錄證書,而不必重新註冊每個賬戶;二是允許用戶在移動設備上使用FIDO認證,以通過附近的設備登錄App和網站,無論這些設備運行哪種操作系統平台或使用哪種瀏覽器。

一個月後,蘋果率先在WWDC交出了第一份答卷。Passkeys不僅支持蘋果全家桶中的iPhone、iPad、Mac、Apple TV間跨設備認證,同時用戶也可以用iPhone解鎖FIDO聯盟中的其他非蘋果產品。

但「殺死」密碼,沒那麼容易。

上世紀40年代,為破譯德軍密碼,英國研制出了大型電子運算裝置Colossus,這是人類歷史上第一台可編程的計算機。計算機因破解密碼而生,並隨後孕育了互聯網。

80年後,互聯網誕下的科技巨頭們卻要「殺死」密碼,打造一個更方便、更安全的無密碼世界。這是一個無比艱巨的任務。

比計算機還要年長的密碼,早已滲透到生活中的各個角落。「殺死」密碼,不止是技術升級,也是改變一種生活習慣,而這並不容易。正如FIDO聯盟的執行董事、CMO Andrew Shikiar所說:「幾乎所有用戶要做的第一件事就是設置密碼,我們需要做的是打破這種習慣。」

2020年,Windows 10的活躍用戶數量首次突破10億。而當年5月微軟公佈的每月無密碼登入使用人數是1.5億,只有約15%。此時,距離微軟在Windows 10上推廣無密碼登錄已經過去近兩年。

除了用戶習慣難以在短時間內被改變外,橫亙在三巨頭面前的另一座高牆是:若要實現無密碼登錄,首先要擁有一部智慧型手機。

據Strategy Analytics統計,截至2021年,全球有39.5億人用上了智慧型手機,普及率約為50%。此外,並非所有智慧型手機都能運行無密碼技術。蘋果即將推出的Passkeys需要更新iOS 16版本才能使用,而iPhone SE 2016、iPhone 7之前的老款手機均無法獲取iOS 16的更新。

這意味著,如果在全球範圍內推廣無密碼登錄,現時將會有至少一半的人無法使用。

此外,雖然FIDO聯盟在跨平台應用上取得了進展,但跨平台的密鑰轉移依舊是一大痛點。簡單來說,雖然蘋果手機可以在FIDO框架下解鎖非蘋果產品,但當用戶更換成安卓手機後,保存在終端上的密鑰也需要批量轉移。

專注於報導蘋果新聞的外媒9to5Mac表示,FIDO目前提供的解決方案,還無法在不同生態系統之間批量傳輸密鑰。如果想從Android手機切換到iPhone(反之亦然),用戶將無法移動所有密鑰。相比之下,密碼則更容易轉移。

正如蘋果互聯網技術副總裁Darin在WWDC上描述的一樣,脫離密碼的轉型是一場旅程。在這場旅行中,不僅需要蘋果、谷歌、微軟,也需要全球的企業和用戶共同參與其中。

2022年歷史的車輪格外喧囂,iPod、IE瀏覽器、中國區Kindle先後被無情碾過。如今,密碼也看到了遠處揚起的沙塵。只是這次,科技巨頭「三英戰呂布」,密碼還遠未見到白門樓。

psw.jpeg

暫無任何回文,期待你打破沉寂

你需要登入後才可以回覆 登入 | 註冊會員

本版積分規則

patritech

LV:2 村民

追蹤
  • 586

    主題

  • 586

    回文

  • 5

    粉絲