蘋果、微軟、谷歌不再打架，今年要合力幹件大事

罕見的統一戰線

總市值超5.39萬億美元的全球科技三巨頭，罕見地放下成見、抱作一團，將槍口對準人類數字生活的虛擬守門人——密碼。

在5月5日的世界密碼日上，蘋果、微軟、谷歌共同承諾，未來一年將在它們控制的所有移動、桌面和瀏覽器平台上建立對無密碼登錄的支持，以打造更安全的個人信息與互聯網環境。

這是一次不容小覷的聯合行動。蘋果佔據高端智慧型手機市場的六成份額，谷歌開發的安卓系統覆蓋了70%的全球用戶，微軟則是電腦操作系統領域無可撼動的霸主。

三巨頭聯手，「殺死」密碼勝利在望？

無密碼比密碼更安全，聽起來多少有些反常識。但對很多人來說，無密碼這一概念並不新鮮。

在PC端登錄微信，就是一個簡單直觀的無密碼場景：在PC端點開微信後，手機收到確認信息，然後通過手機認證完成登錄。生活中常常用到的指紋解鎖、掃臉支付等，也可以歸為無密碼技術範疇。

事實上，習慣了自動登錄和手機驗證登錄的用戶，恐怕已經沒有多少人還記得自己的微信密碼。在這種情況下，密碼還有存在的必要嗎？

在普通用戶意識到這個問題之前，蘋果、微軟、谷歌已經為構建一個無密碼的世界探索數年。

在不久前的蘋果全球開發者大會（WWDC 2022）上，蘋果公佈了一項名為「Passkeys」的新技術。當用戶需要使用某個網站或應用時，iPhone會收到請求，用戶可以直接通過指紋或面容ID在iPhone上進行身份驗證，從而直接登錄。


圖片來源：WWDC發佈會

這個過程並不複雜，而且有兩個好處：一是不需要記住密碼，二是整個過程在一部iPhone上就可以完成。這意味著，用戶的任何私密信息都不會被第三方的網絡服務器儲存和洩露，安全性大大提升。

正如蘋果互聯網技術副總裁Darin Adler所說，Passkeys不會被盜用，因為它永遠不會離開你的設備。

在蘋果之前，微軟與谷歌也早已在無密碼領域佈局多年。

早在2017年，微軟就嘗試用Microsoft Authenticator讓用戶免密登錄微軟賬戶。2018年，微軟將這一功能升級並應用在Edge瀏覽器和Windows 10系統上。據微軟官方數據，截至2020年5月，每月有1.5億用戶在使用無密碼登入。

2021年，微軟宣佈從當年9月15日起，用戶可以完全刪除他們的微軟賬戶密碼，並選擇使用Microsoft Authenticator應用、Windows Hello、安全密鑰等方式認證登錄設備。

谷歌則在2019年宣佈，在Android 7.0及以上版本中，可調用指紋或面部識別等登錄某些支持的網站。

在「殺死」密碼這件事上，三巨頭罕見地達成了共識。iOS與Android、Windows與MacOS，這次不再為市場份額大打出手，而是要實現互聯互通。

2013年、2015年和2020年，谷歌、微軟、蘋果先後加入FIDO聯盟。FIDO（Fast Identity Online）聯盟即線上快速身份驗證聯盟，是一家由PayPal、聯想等企業於2012年7月成立的非盈利性行業協會，目前成員已擴大至300余家，其中包括ARM、蘋果、三星、亞馬遜、阿里巴巴、華為、Netflix等知名企業，以及各國政府的標準制定機構和學術團體。

它們共同的敵人，是曾在互聯網歷史上扮演重要角色，但也給人類帶來巨大困擾和安全風險的密碼。

天下苦密碼久矣

從開機密碼、郵箱密碼到各類網站的登錄密碼，密碼幾乎滲透到了生活的每一個角落。記住各種複雜的密碼，則成為人們不得不面對的一大挑戰。牛津大學與萬事達卡聯合進行的一項研究發現，有三分之一在線購物中止，是因為用戶忘記密碼。

密碼管理軟件Nordpass給出的安全密碼建議是，至少12位數，包含大小寫字母、數字及特殊符號，並且每90天要至少更換一次。

達到以上密碼安全建議，且不重復使用密碼，對普通用戶來說無疑是一種負擔。

事實上，多數人對於密碼安全不以為意。

據微軟2016年數據，大約20％的互聯網用戶正在使用重復密碼，另外27％的用戶使用的密碼與其他帳戶密碼幾乎完全相同。到2018年，仍然有很大一部分互聯網用戶偏愛弱密碼，而不是安全密碼。

Nordpass公佈的2021年最常用密碼榜單顯示，「123456」出現了超過1.03億次，只需要不到一秒鐘就能破解。據FIDO官網數據，80%的數據洩露是由密碼造成，多達51%的密碼被重復使用，而重置一次密碼的平均人力成本是70美元。


圖片來源：Nordpass網站

一面是多數密碼形同虛設，另一面是密碼本身的安全缺陷遠比人們想象中更大。

據路透社報導，2020年6月，世界著名網絡安全組織Awake Security發佈的一份公開報告指出，谷歌公司旗下的瀏覽器Chrome存在嚴重漏洞，使上千萬用戶的個人資料遭黑客竊取。經統計，惡意的後台程序至少被下載了3200萬次，這意味著3200萬用戶的密碼很有可能已被黑客竊取。

2014年9月，蘋果的iCloud遭到黑客攻擊，導致密碼洩露，大約200位名人明星的私密照片在互聯網上傳播。

2018年，由於蘋果在線商城和手機保險公司Asurion網站存在的漏洞，造成約7200萬 T-Mobile運營商用戶的密碼洩露。

日益嚴峻的密碼安全問題不僅給個人和企業帶來風險，甚至可能威脅國家安全。



來自AntiSec組織的攻擊者曾向美國政府軍方承包商Booz Allen Hamilton進行攻擊，併發布9萬個美國軍方電子郵件地址和密碼，包括美國中央司令部、特種作戰司令部、海軍陸戰隊、空軍部隊以及國土安全局的賬戶密碼。

面對層出不窮的密碼安全事故與隱患，蘋果、微軟、谷歌亟需將更安全、更高效的無密碼技術推向前台。

2022年，FIDO聯盟的技術革新加速了這一進程。

在5月5日的世界密碼日上，三巨頭聯合宣佈擴展對免密碼登錄通用標準的支持， 預計在未來一年內解決跨平台認證的痛點。

與以往不同的點在於，此次FIDO在跨平台運行上取得了兩個新的突破。一是允許用戶在多台設備、包括新設備上自動訪問FIDO登錄證書，而不必重新註冊每個賬戶；二是允許用戶在移動設備上使用FIDO認證，以通過附近的設備登錄App和網站，無論這些設備運行哪種操作系統平台或使用哪種瀏覽器。

一個月後，蘋果率先在WWDC交出了第一份答卷。Passkeys不僅支持蘋果全家桶中的iPhone、iPad、Mac、Apple TV間跨設備認證，同時用戶也可以用iPhone解鎖FIDO聯盟中的其他非蘋果產品。

但「殺死」密碼，沒那麼容易。

上世紀40年代，為破譯德軍密碼，英國研制出了大型電子運算裝置Colossus，這是人類歷史上第一台可編程的計算機。計算機因破解密碼而生，並隨後孕育了互聯網。

80年後，互聯網誕下的科技巨頭們卻要「殺死」密碼，打造一個更方便、更安全的無密碼世界。這是一個無比艱巨的任務。

比計算機還要年長的密碼，早已滲透到生活中的各個角落。「殺死」密碼，不止是技術升級，也是改變一種生活習慣，而這並不容易。正如FIDO聯盟的執行董事、CMO Andrew Shikiar所說：「幾乎所有用戶要做的第一件事就是設置密碼，我們需要做的是打破這種習慣。」

2020年，Windows 10的活躍用戶數量首次突破10億。而當年5月微軟公佈的每月無密碼登入使用人數是1.5億，只有約15%。此時，距離微軟在Windows 10上推廣無密碼登錄已經過去近兩年。

除了用戶習慣難以在短時間內被改變外，橫亙在三巨頭面前的另一座高牆是：若要實現無密碼登錄，首先要擁有一部智慧型手機。

據Strategy Analytics統計，截至2021年，全球有39.5億人用上了智慧型手機，普及率約為50%。此外，並非所有智慧型手機都能運行無密碼技術。蘋果即將推出的Passkeys需要更新iOS 16版本才能使用，而iPhone SE 2016、iPhone 7之前的老款手機均無法獲取iOS 16的更新。

這意味著，如果在全球範圍內推廣無密碼登錄，現時將會有至少一半的人無法使用。

此外，雖然FIDO聯盟在跨平台應用上取得了進展，但跨平台的密鑰轉移依舊是一大痛點。簡單來說，雖然蘋果手機可以在FIDO框架下解鎖非蘋果產品，但當用戶更換成安卓手機後，保存在終端上的密鑰也需要批量轉移。

專注於報導蘋果新聞的外媒9to5Mac表示，FIDO目前提供的解決方案，還無法在不同生態系統之間批量傳輸密鑰。如果想從Android手機切換到iPhone（反之亦然），用戶將無法移動所有密鑰。相比之下，密碼則更容易轉移。

正如蘋果互聯網技術副總裁Darin在WWDC上描述的一樣，脫離密碼的轉型是一場旅程。在這場旅行中，不僅需要蘋果、谷歌、微軟，也需要全球的企業和用戶共同參與其中。

2022年歷史的車輪格外喧囂，iPod、IE瀏覽器、中國區Kindle先後被無情碾過。如今，密碼也看到了遠處揚起的沙塵。只是這次，科技巨頭「三英戰呂布」，密碼還遠未見到白門樓。