2022-05-13 好机友
让科技圈热热闹闹的几家巨头,苹果、谷歌和微软,最近宣布要一起搞个大项目。具体来说,是想让我们用户在登录各种设备时,可以「跟密码说再见」。
也是,在数字生活中,多多少少会跟以上几家巨头打交道。
打开电脑,有个微软账号;打开 iPhone,有苹果账号。而在手机和电脑里,各种软件不计其数,又衍生出更多个账号和密码。So,记住密码,成为一项技术活。机哥以前就介绍过帮忙管理密码的 App;包括浏览器也有自动记录密码,让登录步骤变得更方便。
但是嚯,始终需要靠我们自己花心思去管理密码,其他方法都是辅助罢了。
这回苹果微软谷歌三巨头合作,就是希望我们能在密码上折腾少一些,登录时候方便些,并且账号更安全些。
具体怎么提升?要从 FIDO 标准说起。
FIDO 是「在线快速身份认证」的简称,简单理解为用账号密码登录时的一个步骤好了。
有步骤,就会慢慢形成步骤的标准。于是在 2012 年,FIDO 联盟成立。
这联盟将我们常用的登录方式,做出了两套框架。
一是 UAF,生物认证框架。
看图就好理解,像面部、声音、虹膜、指纹识别等,都算在生物认证密码里。
登录时,通过个人独有的指纹等生物特征,我们可以省去再输入密码的步骤。
二是 U2F,双因素认证标准。
用词有点绕口,举个例子大家就明白。
在电脑登录游戏平台 Steam 时,除了要输入密码,还要输入 Steam 令牌。
这令牌是串随机数字,由指定手机发出。
再比如微软出的 Microsoft Authenticator 软件,有些账户登录时,也需要通过这个 App,进行双重验证。
听起来,是不是有点像银行 U 盾的操作?
正好,苹果商店有个产品就通过了 FIDO 认证,它长得跟 U 盾似的。
它名叫 YubiKey 5Ci,支持闪电接口。这玩意儿省去输入随机数字那一步,直接插进苹果手机或电脑中,就完成了双重验证。
总的来说,FIDO 总结的两套规范,目的都能提高登录安全性。
跟单纯数字密码相比,指纹、虹膜等生物特征,更难复制;跟手机短信验证码等相比,随机令牌数字更难被劫持追踪。
以上两套基本框架确定后,FIDO 联盟推出 2.0 规范。
2.0 更近一步的地方在于,将「跟密码说拜拜」的计划,延伸到不同设备、不同 App 之间。
这套加密方法叫「私钥 - 公钥」,私钥在手,公钥是否被网络攻击啥的,就显得没那么重要。
好比你进家门,你个人有一串私人密码,谁也接触不到。
在楼道里,有一串公共密码。小芳寄一封信给你,填了你的公用密码,寄到你楼道里,送信人却打不开你家门,因为没有私人密码。
FIDO 2.0 规范也是这样,上传到服务器里的都是公钥,私钥只在你自己手里。
具体应用呢,比如你打开购物网站,想网购一个东西,这时要调用你的在线支付账号,才能付款。
这时候,只需要刷刷指纹,就能支付成功。指纹,就是我们的私钥。
FIDO 规范走到 2.0 这步,就是希望能够做到跨平台、跨设备,都支持无密码登录。
现在再回头看机哥文章开头说的,苹果、谷歌和微软搞合作,估计就朝着这方向。
三家承包了全球最主流的手机系统 iOS 和安卓,还有无数人在用的 Windows 系统。同时,它们也创造着数以亿计的硬件设备。
想要账户登录越来越安全和方便,可不得三家合作嘛!
其实科技巨头们对密码认证的探索,一直在持续进行中。只不过比起其他更新,要来得更低调些。
去年 WWDC 上,苹果宣布可以用 Face ID 和 Touch ID 这两种账户认证,来代替输入密码。
但这个更新点感知并不强,而且具体怎样跨平台登录,还需要三巨头给出更多的想象力。
FIDO 这边给出的设想是,无论你 iOS、安卓,还是 Windows,全部互通。
只需一种验证方式,畅游全平台。
比如用指纹验证,录入后,解锁 iPhone 能用,苹果账号能用,在这台 iPhone 上登录的社交 App、音乐 App 等等,全都能用指纹验证,不用再一个个登录账号密码了。
安卓也是一样道理。那社交 App、音乐 App 都能跨平台使用的,意味着,刚才在 iPhone 上用指纹登录的 App,转身换到安卓上照样能用指纹登录。
但一个全新的设备,怎样接受你的指纹呢?
FIDO 白皮书中提到的是,希望 iOS、安卓设备能够从系统底层,就安排上整个认证过程。
我们希望认证器供应商在他们的认证器实现中做出这一改变。
具体怎样安排,机哥不知道。但我知道这带来的效果,就是以后无论用 iOS 还是安卓,都不用逐个账号去记住密码了。
甚至,能跟电脑无缝衔接。
比如想在电脑网页上登录邮箱,你之前通过指纹验证的手机也在旁边,那不用在电脑上输入邮箱密码,而是由手机弹窗出来一个「指纹验证请求」。
这样,在手机上按下指纹,电脑那边就能登上邮箱了。
FIDO 联盟的设想很美好,但具体怎么实施,还得看具体厂商了。
或许在今年即将到来的 WWDC 2022 上,我们能再听到苹果聊一聊密码、安全、隐私那些事儿。
然后,再介绍些免密码登录的新操作。
其实在前些年,苹果并没跟 FIDO 联盟合作,现在又同意了。
在合作声明中,提到「为了使网络更加安全和可供所有人使用」这句话,划重点。
机哥是深有感触啊,对我们来说,管理密码实在太繁琐了。
如果图方便用相同的密码,某个账号密码泄露,其他所有账号密码都要改。
苹果密匙、谷歌浏览器密码泄露提醒,大家都收到过吧?
想想都磨人。
无需通过输入大量密码,安全、自由地穿梭在各个平台和 App 之间,那真是刚需。
愿景挺美好,但要实现估计还需要时间。
省去输密码的身份认证方式,苹果可以单独做,微软谷歌都可以,但要统一起来,让使用者得到最大方便,确实离不开「标准化」。
或许,这就是 FIDO 这类联盟存在的意义?
但是,机哥又要说但是喽。标准也不只有一家联盟能定。
就拿跟小钱钱有关的移动支付来讲,全球支付规范标准组织 EMVCo 的确跟 FIDO 联盟展开过合作,使得在移动支付时,免去密码的操作能纳入 FIDO 内。
移动支付,我们熟啊!支付宝、微信支付、京东支付 ...... 不天天都在用嘛。
但机哥怎么记得,支付宝有自己的认证标准呀?
它叫 IIFAA。
微信支付那边,也有一套,叫 SOTER。
啊这,看来搞个统一标准真不容易。
但机哥可以确定的是,无论用哪个标准,各平台之间能更便捷登录,依然是发展方向。
看 FIDO 官网上,各科技公司大合照的架势,机哥就能感受到,一个手机登录方式彻底大变样的未来,在向我们招手呢 ~
相关文章 | |
---|---|