新浪数码讯 5月31日上午消息,5月初“世界密码日”那天,安全机构FIDO获得了苹果、谷歌和微软的新支持,这几家大科技公司都宣布他们正在扩大对无密码登录标准的支持。用户或许不用再输入密码了,但也有人担忧,没有密码的世界可能会进一步将用户锁定在苹果和谷歌的生态系统中。
外媒的9to5mac的作者Ben Lovejoy就对此事进行了探讨。
“一个没有密码的世界”“一个没有密码的世界”
一个没有密码的世界是FIDO联盟(Fast IDentity Online)的使命。
目前,要登录网站或应用程序,我们通常输入用户名和密码。多年来,密码是一种非常可怕的保安方式——而且随着我们使用的每一项附加服务,密码(多了)更是如此。安全问题作为一种粗略的身份验证形式,也同样是一团糟。
FIDO要做的是允许我们的设备对用户进行身份验证。以支持面容识别的的iPhone为例,逻辑是这样的:
网站或应用要求您表明并证明自己的身份。
您的iPhone会收到该请求,并启动面容ID。
如果人脸匹配,iPhone会告诉网站你是谁,从而允许进入。
这个过程不涉及密码:身份验证是在设备上执行的,而不是在网站服务器上。 Web服务器信任用户的iPhone,有点像支付终端信任手机,就可以用Apple Pay交易不输入密码一样。
早在2019年,苹果就尝试此种方式并开始支持FIDO标准。其他科技巨头的也开始支持,如亚马逊、Arm、Facebook、谷歌、英特尔、微软和三星。FIDO董事会成员包括美国运通、ING、万事达卡、贝宝、维萨和富国银行这些金融机构。
用设备去验证设备确实不用输入密码了。然而目前标准中没有提到在生态系统之间切换。密钥存储在用户的设备上,如果您想从iPhone切换到Android手机,或者反过来,可能会有点问题。
FIDO目前的解决方案没有在生态系统之间批量传输密钥的机制。如果想从Android手机切换到 iPhone(反之亦然),用户将无法移动所有密钥。相比之下,密码则更容易转移。
“我们现在还没有真正的批量导出方法,”FIDO 联盟执行董事 Andrew Shikiar 说。 “我认为这可能是未来的迭代。”
理论上,这是一个很容易解决的问题:只允许以与今天的密码相同的方式导出和导入密码。但鉴于FIDO的本意是比密码更安全,联盟不愿允许这样做。如果用户可以轻松地在设备之间倒入/导出所有密钥,黑客可能会利用此功能。
而这也就把用户限制在了目前的生态系统当中,让他们切换系统变得困难。