蘋果將真正實現無密碼登錄它是如何做到的?
在美國當地時間週二舉行的全球開發者大會(WWDC)上,蘋果宣布將首次實現真正的無密碼登錄,那麼它是如何做到的?該公司解釋稱,將在iOS 16和MacOS Ventura應用和網站中使用Passkey,並使用Touch ID或Face ID進行身份驗證。
多年來,很多公司都承諾將提供更安全、無密碼登錄方案,而2022年可能是讓人們遠離密碼的開始。在今年的全球開發者大會上,蘋果宣布將於今年9月份開始在Mac、iPhone、iPad和Apple TV上推出無密碼登錄。在iOS 16和MacOS Ventura上,人們將不再使用密碼,而是使用Passkey登錄網站和應用。這是現實世界中為消除密碼而進行的第一次重大轉變。
那麼,蘋果是如何做到的呢?該公司互聯網技術副總裁達里恩·阿德勒(Darin Adler)在WWDC上解釋說,Passkey通過使用Touch ID或Face ID創建新的數字密鑰來取代密碼。當用戶在網站上創建在線帳戶時,他們就可以使用Passkey而不是密碼。阿德勒說:“要創建Passkey,只需使用Touch ID或Face ID進行身份驗證即可。”
當用戶再次登錄該網站時,Passkey允許其通過使用生物識別信息進行驗證,而不必輸入密碼(或者讓密碼管理器生成新密碼)。在Mac上登錄網站時,iPhone或iPad上會出現提示,要求驗證身份。蘋果表示,Passkey將使用iCloud的Keychain在設備上同步,而且Passkey存儲在用戶的設備上,而不是服務器上。
在幕後,蘋果Passkey是基於Web Authentication API(WebAuthn)開發的,並且支持端到端加密,所以沒有人可以讀取它們,包括蘋果本身。創建Passkey的系統使用公鑰-私鑰身份系統來證明用戶的身份。
對於大多數人來說,無密碼系統將是網絡安全領域的重大進步。除了消除可能被破解的密碼外,不再使用密碼還可以幫助降低遭到網絡釣魚攻擊的危險。而且,如果密碼本來就不存在,在數據洩露事件中就不會被竊取。目前,雖然部分應用程序和網站已經允許人們使用指紋或面部識別登錄,但這通常需要他們首先創建帶有密碼的賬戶。
蘋果的Passkey並不是全新的發明,該公司在2021年的WWDC上首次詳細介紹了它們,並在不久後開始測試。而且,蘋果也不是唯一一家想要消除密碼的公司。近十年來,科技行業組織The FIDO Alliance也始終在致力於製定消除密碼所需的基本標準,而Passkey正是蘋果支持這些標準的舉措。
近幾個月來,FIDO採取了一系列重要措施,以加速消除密碼。今年3月,該組織已經找到一種方法來存儲讓不同設備之間同步登錄的加密密鑰,稱之為“多設備FIDO證書”或“passkey”。
緊隨其後的是,蘋果、微軟和谷歌都宣布支持FIDO標準。美國網絡安全和基礎設施安全局局長珍·伊斯特利(Jen Easterly)表示,採用這些標準將確保更多人的網絡安全。當時,這三家科技巨頭稱,他們將開始“在未來一年”推出這項技術。自去年9月以來,微軟的用戶賬戶已經可以放棄密碼,而谷歌自2008年以來也始終在研究無密碼登錄技術。
當所有科技公司都推出了自己版本的passkey後,該系統應該可以在不同的設備上運行。理論上,用戶可以用iPhone登錄運行Windows的筆記本電腦,或者用安卓平板電腦在微軟Edge瀏覽器中登錄網站。FIDO執行董事安德魯·希基亞爾(Andrew Shikiar)說:“FIDO的所有規格都是合作開發的,有數百家公司參與。”
希基亞爾已經證實,蘋果是第一家開始推出passkey技術的公司,並稱“這種方法很快就會對全球消費者產生實際影響”。要想實現無密碼登錄,取決於passkey技術在現實中的表現。目前,如果你想拋棄蘋果的生態系統,轉而使用安卓或其他平台,Passkey會發生什麼,這仍是個懸而未決的問題。開發者仍然需要對他們的應用和網站進行更改,才能使用Passkey。
此外,無密碼技術要想獲得人們的信任,首先要讓人們了解它的運作方式。微軟身份管理項目負責人亞歷克斯·西蒙斯(Alex Simons)表示:“任何可行的解決方案都必須比目前使用的密碼和傳統多重身份驗證方法更安全、更容易、更快捷。”簡而言之:如果跨設備登錄系統難以使用,人們可能會避開它們,轉而繼續使用危險卻方便的密碼。(小小)