包括苹果公司(Apple Inc.)、Alphabet Inc.旗下谷歌和微软公司(Microsoft Corp.)在内的多家科技公司表示,他们离消除被许多人称为互联网体验中最糟糕的一个方面——密码——又近了一步。
快速身份在线联盟(Fast Identity online Alliance)近十年来一直致力于开发一种系统,该系统可以让用户通过智能手机或电脑的解锁机制简单地登录自己的在线账户。用户无需通过易受外界干扰的网络发送密码,而是将位于账户服务提供商服务器上的公共“密钥”连接到无法从设备中移除的私人“密钥”。
该组织以前的系统版本仍然要求新设备上的用户输入每个账户的密码,然后才能实现无密码登录。现在,该公司表示,它已经找到了一种方法,让用户可以直接用他们的脸、指纹和PIN码登录在线账户,即使是在全新的设备上。
该联盟(简称FIDO)发布的一份白皮书称,这一更新“意味着用户不再需要密码”。“当他们从一个设备转移到另一个设备时,他们的FIDO证书已经存在,随时可以使用。”
自2013年包括贝宝(PayPal Holdings Inc.)和联想集团(Lenovo Group Ltd.)在内的六家公司共同制定了一种新的、更安全的在线认证行业标准以来,该联盟一直在努力减少对密码的依赖。该联盟共有250多名成员。
批评者长期以来一直抱怨,密码不仅会在信息高速公路上造成摩擦,还会带来真正的挫败感,如果消费者忘记密码,甚至会放弃账户。它们仍然让用户、企业和其他组织容易受到黑客和其他坏人的攻击。
双因素认证等安全解决方案也有自己的缺点。在双因素认证中,用户通常用推送通知或应用程序或文本发送的代码来补充密码。很多人似乎不愿意选择加入。
研究公司Forrester research Inc.的副总裁兼研究总监梅里特·马克西姆(Merritt Maxim)表示:“尽管我们知道,到2022年,密码本身就不安全,会产生很多问题,但让人们真正保护密码仍然是一个挑战。”马克西姆在该公司专门研究安全与风险。
马克西姆说,密码是“互联网上的蟑螂”——令人恼火、顽强,值得花时间去消灭。
一些公司已经开发了使用FIDO标准的无密码选项。
去年9月,微软开始允许用户使用该公司的认证应用和软件、插入计算机端口的物理安全密钥或短信和电子邮件验证码(而不是密码)登录账户。
当用户登录eBay时,该公司会检测用户的设备是否支持FIDO。如果是这样,系统会弹出一个窗口,询问他或她是否愿意使用自己设备的密码、PIN、面部识别或指纹进行无密码认证。同意的用户随后会被提示在后续登录时使用该方法——不需要账户密码。
EBay表示,自2020年引入FIDO技术以来,登录完成率有所提高,而且选择加入的比例高于基于文本的双因素认证。
但Forrester的马克西姆说,完全无密码的世界还很遥远。他说,FIDO的愿景主要依赖于账户持有人拥有自己的联网设备,但这并不适用于全球所有用户。他说,虽然该系统不会与账户服务提供商共享用户的生物特征数据,但一些注重隐私的用户可能会犹豫是否要用他们的脸和指纹来解锁所有信息。
该联盟的执行董事兼首席营销官Andrew Shikiar说,该联盟测试了哪种语言、图标和信息让人们在打开FIDO时感觉最舒服。
Shikiar先生说:“人们需要调整自己的行为,不再只是输入密码,而是做一些他们知道怎么做,但并不真正与登录联系在一起的事情。”
一些应用程序已经允许用户用设备解锁机制代替输入密码,这有助于建立“无密码”用户行为。但Shikiar说,这些应用程序仍然在幕后传输密码,这使得账户很容易受到黑客攻击。他说,相比之下,当用户打开FIDO时,它不会通过网络发送任何人类可读的信息,包括密码。
该联盟还为使用共享设备的人引入了变通方案。这项更新后的技术允许用户将他们的手机变成身份验证器,可以通过蓝牙登录计算机上的帐户,例如,用户可以在图书馆的计算机上不用密码就可以访问帐户。
但施基亚尔说,如果用户无法使用手机,或者没有手机,那么登录体验可能会保持不变。
“但让我们记住,摆脱密码是一段旅程,而不是短跑,”他补充说。
