今天小編分享的科技經驗:從微軟到 Google,人人都想消滅密碼,歡迎閲讀。
如何不用密碼登錄賬号?Google 給出了它的解決方案,拿起手機、掃碼、成功登錄。不需要輸入密碼,也不需要二次認證。
操作簡單,卻更安全。
跟所有的密碼説拜拜
這個看似與微信掃碼類似的登錄方式,為什麼能讓我們告别密碼?
首先,Google Passkey 與微信掃碼底層原理完全不同,Google Passkey 遵循 W3C 協定,是完全離線、沒有伺服器參與的,掃碼只是它的一種登錄方式,在通過了認證的設備 / 浏覽器上,你也能使用指紋或者面容 ID 來登錄。
▲
在認證過的浏覽器中,可以通過指紋驗證登錄
其次,即使是掃碼,Google Passkey 也有所不同。掃碼解鎖只能通過 USB、NFC 以及藍牙傳輸密碼,也就是説,輸入密碼時你必須在設備附近,否則是無法進行驗證的。
▲
W3C 标準
▲
登錄時浏覽器會獲取藍牙權限
簡單總結一下:
Google Passkey 将密碼保存在本地,完全離線,沒有伺服器參與,不存在密碼被截獲的可能性;
設備輔助登錄時,必須要與登錄源在同一位置,杜絕了異地誤掃碼的可能性。
Google 表示,大多數人更容易保護好設備而不是保護好密碼,即使你的設備(手機 / 電腦)丢失了,也可以快速在賬号設定中撤銷授權。
不只是 Google,早在 2021 年,微軟就允許用户删除微軟賬户的密碼,僅使用指紋、人臉、Windows Hello、安全密鑰、微軟認證程式、短信甚至郵件驗證碼等形式登錄微軟賬户。
陪伴我們進入計算機網絡時代的數字密碼,正在離我們遠去。
從讓密碼更復雜,到讓密碼不存在
輸入賬号和密碼、點擊确認、進入網站,這一司空見慣的互聯網登錄方式,不知不覺中多了幾步:輸入手機驗證碼、輸入二次驗證碼。這都是為了給你的密碼再上一層保險。
為密碼加密碼聽起來有些詭異,但随着我們使用的網絡服務越來越多,需要記憶的密碼也越來越多,為了降低記憶成本,密碼復用就成了大問題,一旦被盜,就會導致一串個人賬户失去保障。為了保護用户脆弱的重復密碼,驗證碼等形式也是不得已而為之。
數字密碼的發明人 FernandoCorbat ó 在接受采訪時表示,密碼已經成為「一種噩夢」。
不幸的是,随着萬維網的發展,這已經變成了一場噩夢。我認為沒有人能記住所有已發布或設定的密碼。這就給人們留下了兩個選擇。你要麼把所有的密碼用小本本記下來,要麼就是選擇某種軟體來管理它們,但不管是哪一種都很麻煩。
▲
數字密碼發明者 FernandoCorbat ó
在計算機還沒有被廣泛使用時,FernandoCorbat ó 就曾預言互聯網及信息安全系統将會遭到攻擊:「真正可怕的是,我們讓電腦變得極其容易使用,所以它将被越來越多地使用。」這一觀點換在密碼上同樣适用,密碼是門檻極低的解決方案,所以它也會被人盯上。
2016 年,雅虎發布聲明稱其被黑客駭入,導致 30 億用户信息泄漏;2022 年密碼管理巨頭 LastPass 兩度遭遇黑客,雖然 Lastpass 表示沒有任何密碼被盜,但依然為用户敲響了警鍾。
微軟首席信息安全官 Bret Arsenault 表示:不是所有人都讨厭密碼,依然會有一小部分人喜歡密碼,他們的名字是罪犯——雖然在 2017 年,微軟還説密碼具有一定的阻攔犯罪能力。
簡單的密碼不安全,復雜的密碼記不住,作為安全認證方式,密碼的缺點确實不少。
為了讓我們「記住」密碼,鑰匙串就是其中一個方法。當你在 iPhone 等設備上準備登錄賬号時,輸入法上方就會出現鑰匙串信息,通過指紋或者面容 ID,就能快速輸入賬号密碼。
但如果你的 iPhone 丢失,撿到的人又恰巧猜對了你的解鎖密碼,那鑰匙串裏的所有密碼都将成為擺設——如果 iPhone 沒有通過生物認證,就會用鎖屏密碼來解鎖鑰匙串。
所以我建議大家不要用 6 位數字密碼來鎖定手機,這是你所有密碼的最後防線。
只要密碼存在,就有被盜的風險。或許是大家終于意識到了這一點,雙重驗證、軟體驗證、本地驗證……保護密碼的終極方案呼之欲出:
要不,我們放棄密碼吧。
後密碼時代,Google 們任重道遠
現在已有的無密碼方案,都存在一些問題。
比如,知道鎖屏密碼,任何人都可以在你的 Mac 上登錄 Apple ID。
有鎖屏密碼,等同于擁有了鑰匙串中 Apple ID 的密碼,登錄時需要雙重驗證?沒關系,在浏覽器登錄賬号時,這台 Mac 就是驗證設備。
又比如,微軟的 Authenticator 作為一款雙重驗證 app 非常實用,登錄微軟賬号時,需要點擊手機上與提示相同的數字代碼才可無密碼登錄。
雖然避免了丢失設備時在同一台設備上發生一條龍信息竊取的情況,但被騙後異地登錄的風險依然存在。
▲
如遇騙局,這時你已經被騙了
Google Passkey 使用授權設備(手機)近距離掃碼才能登錄賬号的解鎖方式,在一定程度上解決了上面這兩個問題,但如果生物「密碼」被盜(當然,可能性很小),後果更加嚴重,畢竟你可以随意更改數字密碼,但臉、指紋、聲音都是無法改變的,一次被盜,終身憂慮。
另一方面,即使廠商們努力讓我們忘記密碼,但用户對「無密碼」這件事并不夠買賬,密碼等于安全的觀念,早已在用户心中根深蒂固。
2012 年 7 月成立的行業協會 FIDO,宗旨就是解決用户面臨大量復雜用户名和密碼的問題,微軟、蘋果、Google、Facebook 等都是協會成員。
其執行董事 Andrew Shikiar 認為用户早就習慣了設定密碼,想要改變用户的行為習慣,減少他們對密碼的依賴是很難的。
因此,FIDO 的工作更多是向普通用户科普無密碼體驗的好處,讓更多人接受無密碼更好的觀念。這有點像戒煙,密碼的方便就像香煙給人的愉悦,但它長期的健康風險應該被越來越多人所了解。
FIDO 除了做科普,也會對新的無密碼技術提出建議,讓無密碼系統越來越标準化。
▲
無密碼和二次驗證圖例
如今,利用指紋、面部、聲音等生物識别的解鎖形式越來越多,設備輔助登錄、驗證的形式也司空見慣。
但即便目前已經有了不少的無密碼登錄方式,密碼還是沒那麼容易消失。老設備的更新、用户觀念的改變、各大廠商的跟進,任重道遠的「無密碼」之路,還需 Google 們繼續努力。
點擊「在看」
是對我們最大的鼓勵
>