6 月 8 日消息,在美国当地时间周二举行的全球开发者大会(WWDC)上,苹果宣布将首次实现真正的无密码登录,那么它是如何做到的?该公司解释称,将在 iOS 16 和 MacOS Ventura 应用和网站中使用 Passkey,并使用 Touch ID 或 Face ID 进行身份验证。
多年来,很多公司都承诺将提供更安全、无密码登录方案,而 2022 年可能是让人们远离密码的开始。在今年的全球开发者大会上,苹果宣布将于今年 9 月份开始在 Mac、iPhone、iPad 和 Apple TV 上推出无密码登录。在 iOS 16 和 MacOS Ventura 上,人们将不再使用密码,而是使用 Passkey 登录网站和应用。这是现实世界中为消除密码而进行的第一次重大转变。
那么,苹果是如何做到的呢?该公司互联网技术副总裁达里恩・阿德勒(Darin Adler)在 WWDC 上解释说,Passkey 通过使用 Touch ID 或 Face ID 创建新的数字密钥来取代密码。当用户在网站上创建在线帐户时,他们就可以使用 Passkey 而不是密码。阿德勒说:“要创建 Passkey,只需使用 Touch ID 或 Face ID 进行身份验证即可。”
当用户再次登录该网站时,Passkey 允许其通过使用生物识别信息进行验证,而不必输入密码 (或者让密码管理器生成新密码)。在 Mac 上登录网站时,iPhone 或 iPad 上会出现提示,要求验证身份。苹果表示,Passkey 将使用 iCloud 的 Keychain 在设备上同步,而且 Passkey 存储在用户的设备上,而不是服务器上。
在幕后,苹果 Passkey 是基于 Web Authentication API (WebAuthn) 开发的,并且支持端到端加密,所以没有人可以读取它们,包括苹果本身。创建 Passkey 的系统使用公钥-私钥身份系统来证明用户的身份。
对于大多数人来说,无密码系统将是网络安全领域的重大进步。除了消除可能被破解的密码外,不再使用密码还可以帮助降低遭到网络钓鱼攻击的危险。而且,如果密码本来就不存在,在数据泄露事件中就不会被窃取。目前,虽然部分应用程序和网站已经允许人们使用指纹或面部识别登录,但这通常需要他们首先创建带有密码的账户。
苹果的 Passkey 并不是全新的发明,该公司在 2021 年的 WWDC 上首次详细介绍了它们,并在不久后开始测试。而且,苹果也不是唯一一家想要消除密码的公司。近十年来,科技行业组织 The FIDO Alliance 也始终在致力于制定消除密码所需的基本标准,而 Passkey 正是苹果支持这些标准的举措。
近几个月来,FIDO 采取了一系列重要措施,以加速消除密码。今年 3 月,该组织已经找到一种方法来存储让不同设备之间同步登录的加密密钥,称之为“多设备 FIDO 证书”或“passkey”。
紧随其后的是,苹果、微软和谷歌都宣布支持 FIDO 标准。美国网络安全和基础设施安全局局长珍・伊斯特利(Jen Easterly)表示,采用这些标准将确保更多人的网络安全。当时,这三家科技巨头称,他们将开始“在未来一年”推出这项技术。自去年 9 月以来,微软的用户账户已经可以放弃密码,而谷歌自 2008 年以来也始终在研究无密码登录技术。
当所有科技公司都推出了自己版本的 passkey 后,该系统应该可以在不同的设备上运行。理论上,用户可以用 iPhone 登录运行 Windows 的笔记本电脑,或者用安卓平板电脑在微软 Edge 浏览器中登录网站。FIDO 执行董事安德鲁・希基亚尔(Andrew Shikiar)说:“FIDO 的所有规格都是合作开发的,有数百家公司参与。”
希基亚尔已经证实,苹果是第一家开始推出 passkey 技术的公司,并称“这种方法很快就会对全球消费者产生实际影响”。要想实现无密码登录,取决于 passkey 技术在现实中的表现。目前,如果你想抛弃苹果的生态系统,转而使用安卓或其他平台,Passkey 会发生什么,这仍是个悬而未决的问题。开发者仍然需要对他们的应用和网站进行更改,才能使用 Passkey。
此外,无密码技术要想获得人们的信任,首先要让人们了解它的运作方式。微软身份管理项目负责人亚历克斯・西蒙斯(Alex Simons)表示:“任何可行的解决方案都必须比目前使用的密码和传统多重身份验证方法更安全、更容易、更快捷。”简而言之:如果跨设备登录系统难以使用,人们可能会避开它们,转而继续使用危险却方便的密码。