苹果、Google 和微软想用 Passkey 标准杀死密码

苹果、Google 和微软正在发起一项“联合行动”，目标是“干掉”密码。主流操作系统供应商希望扩大对 FIDO 联盟和万维网联盟创建的通用无密码登录标准的支持。该标准被称为“多设备 FIDO 凭证”或简单称为“Passkey”。新方案并没有采用一长串字符，而是让你正在登录的应用或网站向你的手机推送请求进行身份验证。你需要解锁手机，通过某种密码或者生物特征进行身份验证，然后开始使用。对任何一个已在使用手机双因素身份认证功能的人来说，这个系统听起来有些熟悉，但它是密码的替代品，而不是增加了一个因素。一些推送双因素身份认证系统通过互联网工作，但是这种新的 FIDO 方案使用的是蓝牙。正如白皮书所解释的那样，“蓝牙需要物理接近，这意味着现在我们在身份验证期间，可以用一种能防范网络钓鱼的方式使用用户的手机。”蓝牙在兼容性方面的口碑很糟糕，我不确定“安全性”是否一直是一个真正的问题，但是FIDO联盟说的是蓝牙只能“在物理接近的情况下验证”，而实际登录过程“并不依靠蓝牙的安全属性”。当然这意味着两台设备都需要有蓝牙功能，大多数智能手机和笔记本电脑都具备这一功能，但是对于比较老的台式电脑来说可能是一个难题。