6月8日消息,在美国当地时间周二举行的全球开发者大会(WWDC)上,苹果宣布将首次实现真正的无密码登录,那么它是如何做到的?该公司解释称,将在iOS 16和MacOS Ventura应用和网站中使用Passkey,并使用Touch ID或Face ID进行身份验证。
多年来,很多公司都承诺将提供更安全、无密码登录方案,而2022年可能是让人们远离密码的开始。在今年的全球开发者大会上,苹果宣布将于今年9月份开始在Mac、iPhone、iPad和Apple TV上推出无密码登录。在iOS 16和MacOS Ventura上,人们将不再使用密码,而是使用Passkey登录网站和应用。这是现实世界中为消除密码而进行的第一次重大转变。
那么,苹果是如何做到的呢?该公司互联网技术副总裁达里恩·阿德勒(Darin Adler)在WWDC上解释说,Passkey通过使用Touch ID或Face ID创建新的数字密钥来取代密码。当用户在网站上创建在线帐户时,他们就可以使用Passkey而不是密码。阿德勒说:“要创建Passkey,只需使用Touch ID或Face ID进行身份验证即可。”
当用户再次登录该网站时,Passkey允许其通过使用生物识别信息进行验证,而不必输入密码(或者让密码管理器生成新密码)。在Mac上登录网站时,iPhone或iPad上会出现提示,要求验证身份。苹果表示,Passkey将使用iCloud的Keychain在设备上同步,而且Passkey存储在用户的设备上,而不是服务器上。
在幕后,苹果Passkey是基于Web Authentication API(WebAuthn)开发的,并且支持端到端加密,所以没有人可以读取它们,包括苹果本身。创建Passkey的系统使用公钥-私钥身份系统来证明用户的身份。
对于大多数人来说,无密码系统将是网络安全领域的重大进步。除了消除可能被破解的密码外,不再使用密码还可以帮助降低遭到网络钓鱼攻击的危险。而且,如果密码本来就不存在,在数据泄露事件中就不会被窃取。目前,虽然部分应用程序和网站已经允许人们使用指纹或面部识别登录,但这通常需要他们首先创建带有密码的账户。
苹果的Passkey并不是全新的发明,该公司在2021年的WWDC上首次详细介绍了它们,并在不久后开始测试。而且,苹果也不是唯一一家想要消除密码的公司。近十年来,科技行业组织The FIDO Alliance也始终在致力于制定消除密码所需的基本标准,而Passkey正是苹果支持这些标准的举措。
近几个月来,FIDO采取了一系列重要措施,以加速消除密码。今年3月,该组织已经找到一种方法来存储让不同设备之间同步登录的加密密钥,称之为“多设备FIDO证书”或“passkey”。
紧随其后的是,苹果、微软和谷歌都宣布支持FIDO标准。美国网络安全和基础设施安全局局长珍·伊斯特利(Jen Easterly)表示,采用这些标准将确保更多人的网络安全。当时,这三家科技巨头称,他们将开始“在未来一年”推出这项技术。自去年9月以来,微软的用户账户已经可以放弃密码,而谷歌自2008年以来也始终在研究无密码登录技术。
当所有科技公司都推出了自己版本的passkey后,该系统应该可以在不同的设备上运行。理论上,用户可以用iPhone登录运行Windows的笔记本电脑,或者用安卓平板电脑在微软Edge浏览器中登录网站。FIDO执行董事安德鲁·希基亚尔(Andrew Shikiar)说:“FIDO的所有规格都是合作开发的,有数百家公司参与。”
希基亚尔已经证实,苹果是第一家开始推出passkey技术的公司,并称“这种方法很快就会对全球消费者产生实际影响”。要想实现无密码登录,取决于passkey技术在现实中的表现。目前,如果你想抛弃苹果的生态系统,转而使用安卓或其他平台,Passkey会发生什么,这仍是个悬而未决的问题。开发者仍然需要对他们的应用和网站进行更改,才能使用Passkey。
此外,无密码技术要想获得人们的信任,首先要让人们了解它的运作方式。微软身份管理项目负责人亚历克斯·西蒙斯(Alex Simons)表示:“任何可行的解决方案都必须比目前使用的密码和传统多重身份验证方法更安全、更容易、更快捷。”简而言之:如果跨设备登录系统难以使用,人们可能会避开它们,转而继续使用危险却方便的密码。(小小)