蘋果、谷歌和微軟近日宣布，他們將很快支持一種完全避免使用密碼的身份驗證方法，用戶只需解鎖智能手機即可登錄網(wǎng)站或在線服務。專家表示，這些改變將有助于抵御多種類型的網(wǎng)絡釣魚攻擊，并減輕互聯(lián)網(wǎng)用戶的整體密碼負擔。但值得注意的是，對于大多數(shù)網(wǎng)站來說，可能還需要數(shù)年時間才能真正迎來無密碼時代。

10年積累的成都網(wǎng)站設計、成都網(wǎng)站建設經(jīng)驗，可以快速應對客戶對網(wǎng)站的新想法和需求。提供各種問題對應的解決方案。讓選擇我們的客戶得到更好、更有力的網(wǎng)絡服務。我雖然不認識你，你也不認識我。但先制作網(wǎng)站后付款的網(wǎng)站建設流程，更有成都免費網(wǎng)站建設讓你可以放心的選擇與我們合作。

這些科技巨頭是行業(yè)主導密碼革新工作的一部分，這些密碼很容易被忽視，經(jīng)常被惡意軟件和網(wǎng)絡釣魚攻擊竊取，或者在企業(yè)數(shù)據(jù)泄露后被曝光并被在線出售。

蘋果、谷歌和微軟是快速在線身份認證（FIDO）聯(lián)盟和萬維網(wǎng)聯(lián)盟(W3C)制定的無密碼登錄標準的積極貢獻者。過去十年，這些組織與數(shù)百家科技公司合作開發(fā)一種新的登錄標準，該標準可兼容多個瀏覽器和操作系統(tǒng)。

據(jù) FIDO 聯(lián)盟介紹，用戶將能夠通過每天多次解鎖設備的相同操作來登錄網(wǎng)站——包括設備 PIN 碼、指紋以及面部識別等生物特征。

該聯(lián)盟在 5 月 5 日寫道：“與密碼和傳統(tǒng)的多因素認證技術（例如通過短信發(fā)送的一次性密碼）相比，這種新方法可以防止網(wǎng)絡釣魚攻擊，使登錄從根本上更加安全?！?/p>

谷歌安全認證主管兼 FIDO 聯(lián)盟主席Sampath Srinivas表示，在新系統(tǒng)下，你的手機將存儲一個名為“密碼”的 FIDO 憑證，用于解鎖你的在線帳戶。

“密碼使登錄更加安全，因為它基于公鑰加密，并且僅在你解鎖手機時才會顯示在您的在線帳戶中，”Srinivas 寫道?！耙谀愕碾娔X上登錄網(wǎng)站，只需將手機放在附近，系統(tǒng)就會提示你解鎖以進行訪問。完成此操作后，將不再需要手機，只需解鎖電腦即可登錄?！?/p>

蘋果、谷歌和微軟已經(jīng)支持這些無密碼標準（例如“使用 Google 登錄”），但用戶需要在每個網(wǎng)站上登錄才能使用無密碼功能。在這個新系統(tǒng)下，用戶將能夠在許多設備上自動訪問他們的密鑰，無需重新注冊每個帳戶，可以用他們的移動設備登錄附近設備上的應用或網(wǎng)站。

SANS 技術研究所研究主任Johannes Ullrich稱該聲明是“迄今為止解決身份驗證挑戰(zhàn)最有希望的嘗試”。

“該標準最重要的部分是它不需要用戶購買新設備，而是可以使用他們已經(jīng)擁有并會使用的設備來用作身份驗證。”Ullrich 說。

哥倫比亞大學計算機科學教授、早期互聯(lián)網(wǎng)研究者和先驅Steve Bellovin 稱，這種無密碼嘗試是身份驗證領域的“巨大進步”，但他還表示，許多網(wǎng)站需要很長時間才能趕上這種變革。

Bellovin 等人表示，在這種新的無密碼身份驗證方案中，存在一個潛在的棘手場景，即當有人丟失或損壞移動設備時，他們無法追回 iCloud 密碼時會是什么情況。

“我擔心那些買不起額外設備，或者無法輕易更換損壞或被盜設備的人，”Bellovin 說，“我擔心云帳戶密碼遺忘的恢復問題?！?/p>

谷歌表示，即使你的手機丟失了，“你的密鑰也會從云備份安全地同步到新手機上，讓你可以從舊設備停止的地方繼續(xù)使用?！?/p>

蘋果和微軟也有云備份解決方案，用戶可以使用這些平臺從丟失的移動設備中恢復。但Bellovin表示，這在很大程度上取決于管理此類云系統(tǒng)的安全性。

“在未經(jīng)授權的情況下將另一臺設備的公鑰添加到帳戶中有多容易？” Bellovin想知道。“我認為他們的協(xié)議讓這變得不可能，但其他人不同意我的看法?！?/p>

加州大學伯克利分校計算機科學系講師Nicholas Weaver表示，對于“丟失手機和密碼”的情況，網(wǎng)站仍然需要一些恢復機制，他稱這是“一個很難解決的問題，已經(jīng)是我們當前系統(tǒng)中最大的弱點之一”。

“如果你忘記密碼，丟失了手機，并且可以找回它，這將成為攻擊者的巨大目標。” Weaver在一封電子郵件中表示。“如果你忘記密碼丟失手機而且不能找回，那么現(xiàn)在你已經(jīng)丟失了用于登錄的授權令牌。它必須是后者。蘋果擁有支持它的基礎設施（iCloud 鑰匙串），但尚不清楚谷歌是否支持?！奔幢闳绱?，他表示，整體 FIDO 方法一直是提高安全性和可用性的絕佳工具。

“這是向前邁出的非常好的一步，我很高興看到這一點，”Weaver表示，“利用手機的強大身份驗證功能（如果你有一個像樣的密碼）非常好。至少對于 iPhone 來說，即使手機受到攻擊，你也可以讓它變得安全牢固，因為它的Secure Enclave技術可以處理這個問題，而Secure Enclave不信任主機操作系統(tǒng)。”

科技巨頭們表示，新的無密碼功能將于明年在蘋果、谷歌和微軟平臺上啟用。但專家表示，小型網(wǎng)站可能需要幾年時間才能采用該技術并完全放棄密碼。

最近的研究表明，仍有很多人重復使用或回收密碼（稍微修改相同的密碼），當這些憑據(jù)最終暴露在數(shù)據(jù)泄露中時，將會帶來帳戶被入侵的風險。網(wǎng)絡安全公司SpyCloud 在3 月的一份報告中發(fā)現(xiàn)，64% 的用戶在多個帳戶中重復使用同一密碼，而且在之前的入侵中泄露的密碼，有70% 仍在使用中。

本文題目：密碼將被你的手機取代？
鏈接URL：http://uogjgqi.cn/article/djiside.html