罕见的统一战线
作者 | 瀚星
编辑 | 张汉
封面源 | Photo Network
全球3万亿美元的科技巨头很少放弃幻想并组成一个集团,他们的枪支瞄准了人类数字生活的虚拟门户——代码。
在5月5日的世界密码日,苹果、微软和谷歌联合承诺在未来一年建立支持所有移动、桌面和浏览器平台的无密码登录,以创造更安全的个人资料和互联网环境。
这是不可否认的共同行动。 苹果占据了高端智能手机市场的六大组成部分,谷歌的Android系统覆盖了全世界70%的用户,微软是计算机操作系统领域无屈不挠的冠军。
三个巨人联合起来, 希望赢得代码胜利 吗?
罕见的统一战线
没有密码比一个密码更安全,这听起来有点反感,但对于许多人来说,没有密码的概念并不新鲜。
在PC端登录WeChat是一个简单的、直观的、非加密的场景:当你在PC端打开WeChat后,手机会收到确认信息,然后通过手机认证完成登录。
事实上,那些习惯于自动登录和移动验证的用户,恐怕很少有人在WeChat上记住自己的密码。
苹果、微软和谷歌多年来一直在探索建立一个没有密码的世界,直到普通用户认识到这个问题。
在最近举行的苹果全球开发者会议(WWDC 2022),苹果公司宣布了一种名为“密码”的新技术。当用户需要使用网站或应用程序时,iPhone将收到请求,用户可以通过iPhone上的指纹或面部身分证直接认证自己,从而直接登录。
照片来源:WWDC记者招待会
这个过程并不复杂,它有两个优点:一是你不需要记住密码,二是整个过程可以在iPhone上进行,这意味着任何用户的私人信息不会被第三方网络服务器存储和披露,这极大地提高了安全性。
苹果互联网技术副总裁达林?阿德勒(Darin Adler)说, Passkeys不会被盗,因为它永远不会离开你的设备。
在苹果之前,微软和谷歌已经在匿名领域部署了多年。
早在2017年,微软试图使用Microsoft Authenticator来允许用户匿名登录微软帐户。2018年,微软升级了这一功能并将其应用于Edge浏览器和Windows 10.据微软官方数据,截至2020年5月,每个月有500万用户登录,没有密码。
2021年,微软宣布用户可以完全删除微软帐户密码,并选择使用Microsoft Authenticator应用程序、Windows Hello和安全键验证登录设备。
Google于2019年在Android7上宣布,在0和以上版本中,您可以调用指纹或面部识别来登录某些支持的网站。
这两个巨人很少就杀死代码达成共识。 iOS和Android、Windows和MacOS,这次不再是市场占有率的一大打击,而是实现互连性。
2013年、2015年和2020年,谷歌、微软和苹果加入了FIDO联盟。FIDO(快速网上身份)联盟2012年7月由PayPal、Lenovo等公司成立的非营利行业协会,目前 的 成员 数目 已 扩大 到 300 人 以上,其中有著名的公司如ARM、Apple、Samsung、Amazon、Alibaba、Huawei、Netflix、以及为政府制定标准的机构和学术机构。
他们的共同敌人是密码,它在互联网史上发挥了重要作用,但也给人类带来了巨大的破坏和安全风险。
天下苦密码久矣
从打开密码、邮箱密码到不同网站的登录密码,密码已经渗透到生活的各个角落。记住各种复杂的密码,这是人们面临的一大挑战。牛津大学与达卡大学联合开展的一项研究,三分之一的网上购物停止了,因为用户忘记了密码。
Nordpass的安全性密码建议至少为12位,包含字母、数字和特殊符号,并且至少每90天一次被替换。
实现上述密码安全建议,不重复使用密码,无疑是普通用户负担。
事实上,大多数人并不考虑密码安全。
根据微软的2016年数据,大约20%的互联网用户使用重复密码,另有27%使用与其他帐户相同的密码。
根据Nordpass的2021年最常见的密码列表,"123456"出现超过1,300,00次,它只需要不到一秒才能破裂。根据FIDO的网站,80%的数据泄露是由密码引起的,最多51%的密码被重复使用,替换密码的平均人力成本为70美元。
照片来源:北通网站
一方面,大多数加密形式都是虚构的,另一方面,加密本身的安全性缺陷远远超过人们想象的。
据路透社报道,2020年6月,世界著名的网络安全组织Awake Security(英语:Awake Security)发表的一份公开报告称:谷歌的Chrome浏览器具有严重的漏洞,数以万计的用户个人资料被黑客偷走了。经统计,恶意的后端程序至少被下载了32百万次,这意味着3200万用户密码很可能被黑客偷走了。
2014年9月,苹果的iCloud被黑客攻击,导致密码泄露,大约200名名人的照片被传播到互联网上。
2018年,T-Mobile大约有7200万用户因苹果在线购物中心和手机保险公司Asurion网站的漏洞泄露了密码。
日益严重的密码安全问题不仅对个人和企业构成风险,甚至可能威胁到国家安全。
根据中国网络安全审查技术及认证中心公布的资料,反塞克的袭击者袭击了美国政府军方承包商布兹·艾伦·汉密尔顿。并发布了9,00个美国军事电子邮件地址和密码,帐户密码包括美国中央司令部、特别行动司令部、海军陆战队、空军和国土安全。
长期以来,面对无穷的安全事件和威胁,苹果、微软和谷歌迫切需要推进更安全、更高效的无加密技术。
2022年,FIDO联盟的技术创新加速了这一进程。
在5月5日世界密码日,三大公司宣布支持扩大无密码登录的通用标准,预计该标准将在明年解决跨平台认证的棘手问题。
与过去不同的是,FIDO在跨平台操作方面取得了两个新突破。一个是允许用户自动访问多台设备的FIDO登录证书,包括新设备。第二,允许用户在移动设备上使用FIDO认证,无需重新注册每个帐户。通过附近的设备登录应用程序和网站,这些设备是否运行在任何操作系统平台或使用任何浏览器。
一个月后,苹果公司是第一个向WWDC提交第一个响应的. Passkeys不仅支持iPhone、iPad、Mac和Apple TV之间的跨设备认证,用户也可以使用iPhone在FIDO联盟中解锁其他非Apple产品。
但杀死代码并不那么容易。
“杀死”密码不容易
在1940年代,英国开发了一个大型电子计算器,科洛索斯,它是人类历史上第一个可编程的计算机,解码了德国密码学。
八十年后,互联网的科技巨头正在“杀死”密码,以创造一个更方便、更安全的世界。
一个比电脑更老的密码,它已经渗透到生活的各个角落。“杀死”密码,不止是技术升级,它也改变了生活方式,而这并不容易。FIDO的CMO兼执行董事Andrew Shikiar说:“几乎所有用户的第一件事就是设置密码。我们需要打破这种习惯。
2020年,Windows 10的活跃用户数量首次超过100万。 同年5月,微软发布了每月使用1500万的无密码登录数目,仅约15%。
除了用户习惯在短期内难以改变的事实之外,三个巨人面对的另一个高墙就是为了获得无密码登录,你必须先拥有一部智能手机。
根据战略分析统计,截至2021年,世界上有39个。 有500亿人使用智能手机,普及率约为50%。此外,并非所有智能手机都使用加密技术。苹果即将推出的 Passkeys需要更新到iOS16,iPhone SE 2016和iPhone 7以前的旧手机无法获得iOS 16的更新。
这意味着如果全球推广无密码登录,至少一半的人将不再能够使用它们。
此外,尽管FIDO联盟在跨平台应用方面取得了进展,但跨平台钥匙转移仍然是一个主要问题。 简言之,虽然苹果手机可以在FIDO框架下解锁非苹果产品,但当用户切换到Android手机时,端口上存储的钥匙也需要分批转移。
9to5Mac是一家专门报道苹果新闻的外部公司FIDO目前的解决方案,也不可能在不同生态系统之间分批转移钥匙。如果你想从Android转到iPhone(或相反),用户无法移动所有键。相比之下,密码则更容易转移。
正如苹果互联网技术副总裁达林在WWDC中所描述的那样,从密码学转移是一个旅程,这不仅需要苹果、谷歌和微软,而且需要全球公司和用户参与。
2022年历史的轮子特别喧闹, iPod 、 IE 浏览器和中国 Kindle 被无情地摧毁。 如今,代码也看到尘埃从远处升起。
欢迎大家注意徐宝嘉兴社金融协会(徐宝嘉兴社),浏览更多金融好文章!