2013年、2015年和2020年,谷歌、微软、苹果先后加入FIDO联盟。FIDO(Fast Identity Online)联盟即线上快速身份验证联盟,是一家由PayPal、联想等企业于2012年7月成立的非盈利性行业协会,目前成员已扩大至300余家,其中包括ARM、苹果、三星、亚马逊、阿里巴巴、华为、Netflix等知名企业,以及各国政府的标准制定机构和学术团体。
它们共同的敌人,是曾在互联网历史上扮演重要角色,但也给人类带来巨大困扰和安全风险的密码。
天下苦密码久矣
从开机密码、邮箱密码到各类网站的登录密码,密码几乎渗透到了生活的每一个角落。记住各种复杂的密码,则成为人们不得不面对的一大挑战。牛津大学与万事达卡联合进行的一项研究发现,有三分之一在线购物中止,是因为用户忘记密码。
密码管理软件Nordpass给出的安全密码建议是,至少12位数,包含大小写字母、数字及特殊符号,并且每90天要至少更换一次。
达到以上密码安全建议,且不重复使用密码,对普通用户来说无疑是一种负担。
事实上,多数人对于密码安全不以为意。
据微软2016年数据,大约20%的互联网用户正在使用重复密码,另外27%的用户使用的密码与其他帐户密码几乎完全相同。到2018年,仍然有很大一部分互联网用户偏爱弱密码,而不是安全密码。
Nordpass公布的2021年最常用密码榜单显示,"123456"出现了超过1.03亿次,只需要不到一秒钟就能破解。据FIDO官网数据,80%的数据泄露是由密码造成,多达51%的密码被重复使用,而重置一次密码的平均人力成本是70美元。
图片来源:Nordpass网站
一面是多数密码形同虚设,另一面是密码本身的安全缺陷远比人们想象中更大。
据路透社报道,2020年6月,世界著名网络安全组织Awake Security发布的一份公开报告指出,谷歌公司旗下的浏览器Chrome存在严重漏洞,使上千万用户的个人资料遭黑客窃取。经统计,恶意的后台程序至少被下载了3200万次,这意味着3200万用户的密码很有可能已被黑客窃取。
2014年9月,苹果的iCloud遭到黑客攻击,导致密码泄露,大约200位名人明星的私密照片在互联网上传播。
2018年,由于苹果在线商城和手机保险公司Asurion网站存在的漏洞,造成约7200万 T-Mobile运营商用户的密码泄露。
日益严峻的密码安全问题不仅给个人和企业带来风险,甚至可能威胁国家安全。
据中国网络安全审查技术与认证中心发布的信息,来自AntiSec组织的攻击者曾向美国政府军方承包商 Booz Allen Hamilton 进行攻击,并发布9万个美国军方电子邮件地址和密码,包括美国中央司令部、特种作战司令部、海军陆战队、空军部队以及国土安全局的账户密码。
天下苦密码久矣。面对层出不穷的密码安全事故与隐患,苹果、微软、谷歌亟需将更安全、更高效的无密码技术推向前台。
2022年,FIDO联盟的技术革新加速了这一进程。
在5月5日的世界密码日上,三巨头联合宣布扩展对免密码登录通用标准的支持, 预计在未来一年内解决跨平台认证的痛点。
与以往不同的点在于,此次FIDO在跨平台运行上取得了两个新的突破。一是允许用户在多台设备、包括新设备上自动访问FIDO登录证书,而不必重新注册每个账户;二是允许用户在移动设备上使用FIDO认证,以通过附近的设备登录App和网站,无论这些设备运行哪种操作系统平台或使用哪种浏览器。
一个月后,苹果率先在WWDC交出了第一份答卷。Passkeys不仅支持苹果全家桶中的iPhone、iPad、Mac、Apple TV间跨设备认证,同时用户也可以用iPhone解锁FIDO联盟中的其他非苹果产品。
但"杀死"密码,没那么容易。
"杀死"密码不容易
上世纪40年代,为破译德军密码,英国研制出了大型电子运算装置科罗萨斯(Colossus),这是人类历史上第一台可编程的计算机。计算机因破解密码而生,并随后孕育了互联网。
80年后,互联网诞下的科技巨子们却要"杀死"密码,打造一个更方便、更安全的无密码世界。这是一个无比艰巨的任务。
比计算机还要年长的密码,早已渗透到生活中的各个角落。"杀死"密码,不止是技术升级,也是改变一种生活习惯,而这并不容易。正如FIDO联盟的执行董事、CMO Andrew Shikiar所说:"几乎所有用户要做的第一件事就是设置密码,我们需要做的是打破这种习惯。"
