谷歌、苹果与微软联手用“万能密钥”杀死密码

5月5日是“世界密码日”，苹果、谷歌和微软三家公司选择在这一天宣布发起“联合行动”来消灭密码。三家科技巨头计划“扩大对由FIDO联盟和万维网联盟创建的通用无密码登录标准的支持”，也就是“多设备FIDO凭证”或万能密钥（passkey）。

简单来说，这个新的“无密码”方案可以把你的手机变成免密码登录的身份验证器，用户登录应用程序或网站时会向手机推送身份验证请求，用户只需解锁手机，使用密码或生物识别在手机上进行身份验证授权，即可完成登录。对于曾使用手机端双因素身份验证的人来说，这听起来很耳熟，但passkey与双因素验证的最大区别是：它直接取代了密码，而不是辅助认证手段。

在5日的联合公告中，三家科技巨头承诺为其用户提供以下两大“万能密钥”功能：

1.用户可以在多台设备（甚至新设备）上自动访问他们的FIDO登录凭证（也就是所谓的万能密钥passkey），而无需重新注册每个账户。

2.支持用户使用移动设备上的FIDO凭证登录身边设备上的APP或者网站，无论用户使用何种操作系统或浏览器：

一些常见的双因素认证系统需要设备接入互联网，而新的FIDO方案通过蓝牙就可以工作。近距离认证有着更好的安全性，正如白皮书所解释的那样：“蓝牙需要物理上的接近，这意味着可以防止网络钓鱼在身份验证期间利用用户的手机。”

蓝牙在兼容性和安全性方面有着糟糕的名声，但FIDO联盟指出蓝牙只是“验证物理距离”，而实际登录过程的安全性并不会受到蓝牙安全性的影响。

当然，这意味着参与验证的两种设备都需要内置蓝牙模块，当今大多数智能手机和笔记本电脑都支持蓝牙，但对于较旧的台式电脑来说可能是一个问题。

多年来，业界一直在努力实现“去密码化”，早在2008年谷歌就在其博客文章中给出了一个完整的时间表，但业界的实践过程异常艰难。

如果密码够长、随机、秘密且唯一，则密码的安全性可以保障，但密码的人为因素始终是一个问题。人们不擅长记忆长而随机的字符串，导致很多人选择写下密码或重复使用密码。此外，日益猖獗的网络钓鱼活动也诱骗用户将密码提供给第三方。此外频繁的数据泄露事件也导致海量的用户账户密码被泄露和共享。

FIDO在博客文章中透露：“这些新功能预计未来一年内将在苹果、谷歌和微软的产品平台上推出。”而似乎已经提前掀起“万能钥匙”潮流的苹果，已经在iOS 15和macOS Monterey中启动并运行了一个类似的系统，但它还不能与苹果之外的平台兼容。

谷歌的passkey支持已经出现在安卓的Play Services中，所以一旦大规模部署，即便是老旧的安卓设备也能很好地支持“万能密钥”。

谷歌产品管理高级总监Mark Risher表示：“这一里程碑见证了全行业为消除过时的基于密码的身份验证所做的工作。”对于谷歌来说，它代表了我们与FIDO一起完成了近十年的工作，也是我们为实现无密码未来而不断创新的历程。我们期待在Chrome、ChromeOS、Android和其他平台上提供基于FIDO的技术，并鼓励应用程序和网站开发人员采用它，以便世界各地的人们可以安全地摆脱密码的风险和麻烦。”

参考链接：

https://fidoalliance.org/apple-google-and-microsoft-commit-to-expanded-support-for-fido-standard-to-accelerate-availability-of-passwordless-sign-ins/

（来源：@GoUpSec）