行業(yè)動態(tài)

谷歌、蘋果與微軟聯(lián)手用“萬能密鑰”殺死密碼

來源:聚銘網(wǎng)絡(luò)    發(fā)布時間:2022-05-07    瀏覽次數(shù):
 

信息來源:安全內(nèi)參


5月5日是“世界密碼日”,蘋果、谷歌和微軟三家公司選擇在這一天宣布發(fā)起“聯(lián)合行動”來消滅密碼。三家科技巨頭計劃“擴大對由FIDO聯(lián)盟和萬維網(wǎng)聯(lián)盟創(chuàng)建的通用無密碼登錄標準的支持”,也就是“多設(shè)備FIDO憑證”或萬能密鑰(passkey)。

簡單來說,這個新的“無密碼”方案可以把你的手機變成免密碼登錄的身份驗證器,用戶登錄應(yīng)用程序或網(wǎng)站時會向手機推送身份驗證請求,用戶只需解鎖手機,使用密碼或生物識別在手機上進行身份驗證授權(quán),即可完成登錄。對于曾使用手機端雙因素身份驗證的人來說,這聽起來很耳熟,但passkey與雙因素驗證的最大區(qū)別是:它直接取代了密碼,而不是輔助認證手段。

在5日的聯(lián)合公告中,三家科技巨頭承諾為其用戶提供以下兩大“萬能密鑰”功能:

1.用戶可以在多臺設(shè)備(甚至新設(shè)備)上自動訪問他們的FIDO登錄憑證(也就是所謂的萬能密鑰passkey),而無需重新注冊每個賬戶。

2.支持用戶使用移動設(shè)備上的FIDO憑證登錄身邊設(shè)備上的APP或者網(wǎng)站,無論用戶使用何種操作系統(tǒng)或瀏覽器:

一些常見的雙因素認證系統(tǒng)需要設(shè)備接入互聯(lián)網(wǎng),而新的FIDO方案通過藍牙就可以工作。近距離認證有著更好的安全性,正如白皮書所解釋的那樣:“藍牙需要物理上的接近,這意味著可以防止網(wǎng)絡(luò)釣魚在身份驗證期間利用用戶的手機?!?

藍牙在兼容性和安全性方面有著糟糕的名聲,但FIDO聯(lián)盟指出藍牙只是“驗證物理距離”,而實際登錄過程的安全性并不會受到藍牙安全性的影響。

當然,這意味著參與驗證的兩種設(shè)備都需要內(nèi)置藍牙模塊,當今大多數(shù)智能手機和筆記本電腦都支持藍牙,但對于較舊的臺式電腦來說可能是一個問題。

多年來,業(yè)界一直在努力實現(xiàn)“去密碼化”,早在2008年谷歌就在其博客文章中給出了一個完整的時間表,但業(yè)界的實踐過程異常艱難。

如果密碼夠長、隨機、秘密且唯一,則密碼的安全性可以保障,但密碼的人為因素始終是一個問題。人們不擅長記憶長而隨機的字符串,導致很多人選擇寫下密碼或重復(fù)使用密碼。此外,日益猖獗的網(wǎng)絡(luò)釣魚活動也誘騙用戶將密碼提供給第三方。此外頻繁的數(shù)據(jù)泄露事件也導致海量的用戶賬戶密碼被泄露和共享。

FIDO在博客文章中透露:“這些新功能預(yù)計未來一年內(nèi)將在蘋果、谷歌和微軟的產(chǎn)品平臺上推出?!倍坪跻呀?jīng)提前掀起“萬能鑰匙”潮流的蘋果,已經(jīng)在iOS 15和macOS Monterey中啟動并運行了一個類似的系統(tǒng),但它還不能與蘋果之外的平臺兼容。

谷歌的passkey支持已經(jīng)出現(xiàn)在安卓的Play Services中,所以一旦大規(guī)模部署,即便是老舊的安卓設(shè)備也能很好地支持“萬能密鑰”。

谷歌產(chǎn)品管理高級總監(jiān)Mark Risher表示:“這一里程碑見證了全行業(yè)為消除過時的基于密碼的身份驗證所做的工作?!睂τ诠雀鑱碚f,它代表了我們與FIDO一起完成了近十年的工作,也是我們?yōu)閷崿F(xiàn)無密碼未來而不斷創(chuàng)新的歷程。我們期待在Chrome、ChromeOS、Android和其他平臺上提供基于FIDO的技術(shù),并鼓勵應(yīng)用程序和網(wǎng)站開發(fā)人員采用它,以便世界各地的人們可以安全地擺脫密碼的風險和麻煩?!?


 
 

上一篇:出售訪問墮胎診所者的位置信息,數(shù)據(jù)公司:已關(guān)閉該功能

下一篇:2022年5月7日聚銘安全速遞