信息化觀察網(wǎng)

本文來自極客網(wǎng)，作者/小刀。

蘋果、谷歌、微軟都有一個(gè)大計(jì)劃，它們想淘汰密碼。三大科技公司都與FIDO Alliance合作，該組織正在開發(fā)新密匙系統(tǒng)，讓用戶自動(dòng)登錄線上賬戶，系統(tǒng)用到了基于設(shè)備的面部識(shí)別和指紋識(shí)別技術(shù)。你可以將新系統(tǒng)想象成密碼管理器，但是沒有實(shí)際密碼。

之所以要淘汰密碼，其中一個(gè)原因是密碼不安全。但淘汰密碼的后果同樣有些嚴(yán)重，因?yàn)槟阋獙?shù)字密匙交給蘋果、微軟、谷歌，這些科技巨頭可以把你進(jìn)一步捆綁到自己的生態(tài)系統(tǒng)之中。FIDO Alliance還沒有找到很好的辦法來解決捆綁問題。

FIDO想推廣“多設(shè)備FIDO證書”，大型科技公司管它叫密匙。簡單來說是這樣的：當(dāng)你用面部或者指紋解鎖設(shè)備時(shí)，系統(tǒng)可以證明你是誰，然后就可以直接進(jìn)入App或者網(wǎng)站了。

舉個(gè)例子，你想在某個(gè)社交網(wǎng)站創(chuàng)建賬戶，你不必設(shè)置密碼，手機(jī)會(huì)生成隱藏密匙，安全存放在設(shè)備內(nèi)。社交網(wǎng)站不會(huì)存儲(chǔ)你的密匙，它從手機(jī)中獲取認(rèn)證信息，驗(yàn)證你的身份，讓你進(jìn)入。

這種技術(shù)有兩個(gè)好處，首先，你不必為每一個(gè)App記住新密碼，也不需要學(xué)習(xí)如何使用密碼管理器；其次，用戶不必?fù)?dān)心丟失密碼。

FIDO Alliance高管Andrew Shikiar說：“我們希望用戶從服務(wù)器獲取密碼。”

密匙不必與手機(jī)捆綁，蘋果、谷歌可以通過云服務(wù)同步密匙，你在一臺(tái)設(shè)備上創(chuàng)建賬戶，在另一臺(tái)設(shè)備也可以快速登錄。

聽起來FIDO技術(shù)和密碼管理器沒什么區(qū)別，蘋果谷歌都有類似軟件，不同的是FIDO流程中沒有實(shí)際密碼。

Andrew Shikiar說他們提供和密碼管理器、瀏覽器存儲(chǔ)密碼一樣的體驗(yàn)，但是使用的不是現(xiàn)有密碼，而是密匙。

如果想在不同生態(tài)系統(tǒng)之間批量轉(zhuǎn)移密匙怎么辦？Shikiar說：“現(xiàn)在還沒有真正的批量轉(zhuǎn)移方法，未來可能會(huì)有。”

現(xiàn)在的密碼轉(zhuǎn)移還是簡單的，瀏覽器可以做到，密碼管理器也可以。FIDO的確有一套應(yīng)對方案，它允許用戶一個(gè)一個(gè)復(fù)制密匙，但如果用戶想更換生態(tài)系統(tǒng)，這樣的方案肯定不安全。

谷歌高管Sam Srinivas說，捆綁不是各企業(yè)的目標(biāo)，大家對互操作很感興趣。Sam Srinivas強(qiáng)調(diào)：“從長遠(yuǎn)來說捆綁會(huì)壓制世界的變化，各平臺(tái)不希望出現(xiàn)這樣的局面，捆綁并非各平臺(tái)本意，大家的本意是想讓互聯(lián)網(wǎng)更安全。”說是這樣說，你信嗎？

如果所有密匙可以輕松轉(zhuǎn)移，是不是會(huì)給黑客留下可乘之機(jī)？這是一個(gè)大問題，現(xiàn)在還不知道如何解決。

要想防止大平臺(tái)捆綁用戶，有一個(gè)辦法也許可行：讓第三方密碼管理器管理密鑰。如此一來，用戶不必依賴蘋果谷歌微軟就可以在平臺(tái)之間輕松跳換。

即使如此，密碼管理器也需要大型科技公司支持，因?yàn)槊艽a管理器要與大公司各自的操作系統(tǒng)整合。現(xiàn)在的密碼管理器可以自動(dòng)填充密碼，但操作時(shí)并沒有那么流暢。

Bitwarden和1Password是國外比較有名的密碼管理器，它們已經(jīng)加入FIDO Alliance。

蘋果谷歌微軟希望未來幾年全面擁抱無密碼登錄技術(shù)，如果想讓各App和網(wǎng)站接受可能還要多等幾年。

在今年的WWDC上蘋果演示了無密碼技術(shù)，密鑰存儲(chǔ)在iCloud Keychain中，可以在蘋果設(shè)備中利用端到端加密技術(shù)實(shí)現(xiàn)同步。通過掃描二維碼或者利用Face ID驗(yàn)證，用戶可以登錄到非蘋果設(shè)備上的應(yīng)用或者網(wǎng)站。

蘋果工程師Garrett Davidson說：“只需要點(diǎn)擊一下就能進(jìn)入，相比今天常見的身份驗(yàn)證技術(shù)，它更容易更安全更快。”

據(jù)悉，明年蘋果、谷歌、微軟就會(huì)在自己的平臺(tái)推廣FIDO Alliance無密碼標(biāo)準(zhǔn)，對此你怎么看？（小刀）