糟糕,忘记密码了!这或许是多数人在登录网站和APP时最害怕遇到的情况之一,但这种情况或成为历史。近日,FIDO(线上快速身份验证)联盟在其官网上宣布,苹果、谷歌和微软联合扩展该联盟创建的通用无密码登录标准,允许网站和应用程序跨设备和平台向消费者提供无密码登录服务。
现在,人们的生活和工作都离不开网络。为了保证用户账户的安全,密码设置也日趋复杂,这让用户面临着同时管理多个平台密码的烦恼。为了方便用户使用互联网服务,科技企业也在不断探索方便的账户登录方式,无密码化成为他们选择的一条路径。FIDO联盟就是一个推进无密码化的组织,旨在解决强身份验证技术之间缺乏互操作性和用户在创建和记住多个用户名和密码时面临的问题。
同时,传统的密码登录被认为是互联网最大的安全问题之一。为了记住大量账户的密码,不少用户会重复使用相同的密码,这种做法可能导致数据泄露、身份被盗等后果。微软的一项研究显示,几乎80%的网络攻击都针对密码,每天有250个企业账户会遭到黑客攻击。ITIGIC的数据也显示,少于五个字符组成的密码基本可以被黑客瞬间破解,而由八个字符、数字和区分大小写的密码,也只需要一个小时左右就能被破解。
需要注意的是,无密码化并不是真的没有密码。在这种模式下,用户将手机等硬件作为主要验证设备,注册账户时系统会检测硬件信息并与之绑定。之后,用户使用指纹、面部识别或设备密码锁等方式解锁硬件设备,都将成为默认动作,用于之后的账户登录,而无需输入密码。
实际上,这种无密码化的操作我们并不陌生。微信平台的登录就是一个例子,微信为了做到账户的强安全保障,在电脑端的登录并不需要输入密码,而只能使用手机确认身份登录。
除了提升用户体验以及保护个人账户信息安全外,这种方法还能让服务提供商提供FIDO凭据,用于账户意外丢失后的恢复。另外,这种方式也被认为对残障人士和老年人用户更为友好。
正因为如此,科技企业一直在推动“去密码化”商用进程。微软在2015年就展示了Windows系统如何用脸部识别技术登录电脑,在2018年启用了安全密钥并在2019年实现了Windows 10无密码化。2021年,微软宣布微软账户可以无密码登录旗下各类应用和服务账户。
谷歌也在极力尝试将密码从人们的生活中抹去。2017年谷歌就要求员工使用安全密钥进行账户登录。2018年,谷歌将这种安全密钥产品化并推广至消费市场,用户能用这种安全密钥在个人智能设备上进行FIDO标准化的两步身份验证。2019年,谷歌宣布将这种安全密钥功能移植于安卓7.0,用户能用安卓手机通过蓝牙在其他设备上进行两步身份验证。
尽管如此,业内也对这种无密码化表示出了一些担心。比如,有FIDO联盟成员建议将FIDO授权存储在云中,这样当用户换了一部新手机或丢失当前手机时,依旧可以无障碍地登录过往所有账户。但是,这种做法也会带来风险,如果云平台被黑客入侵,那么他们将获得授权,用户所有的账户信息容易遭到泄露。因此,业界也质疑FIDO并不是100%安全的解决方案。
同时,推动无密码化需要一个过程。由于使用密码是用户根深蒂固的思想和长期习惯的做法,因此,短时间改变用户行为并不是一件容易的事。在技术层面,即便现在业界已有FIDO这类技术标准,但主导方仍是美国的科技巨头,若要普及还需要更多企业参与,整个产业在身份识别标准方面达成共识后,共同推进无密码化的进程,从而在真正方便用户的同时保护个人信息和数据安全。