无密码时代即将到来?苹果演示生物识别万能钥匙

June 2022


苹果2022年全球开发者大会(WWDC)线上举行,带来了iOS16、iPad OS16、watchOS 9、MacOS Ventura一系列更新。会上,苹果演示了不使用密码的生物识别身份验证系统万能钥匙(Passkeys),并认为该功能“旨在完全替代密码成为下一代登录凭证。”近年来,因密码被盗而导致的数据泄露事件频发。苹果一直在与包括谷歌和微软在内的FIDO(Fast IDentity Online,线上快速身份验证)行业联盟合作,确保无密码登录能够跨平台无缝衔接工作,打造无密码未来。
"passkeys"功能或结束记忆密码历史苹果本次发布万能钥匙主要为应对纯密码登录所带来的数据泄露风险。美国审查平台GoodFirms在2021年一则报告中提出,45.7% 的受访者重复使用多个站点/应用程序的密码,52.9%的受访者与同事、朋友、家人分享他们的密码,而30%的受访者因密码薄弱而经历过安全漏洞。科技电信公司Verizon 2022年度数据泄露报告提出,黑客可以通过许多不同的方式获取用户的名字和密码,通过自动化排列个人信息的方式来推断用户的个人密码。黑客还可以通过另一个被黑的网站上,亦或是通过设置钓鱼网站链接来获取用户的密码。



FIDO联盟官网数据显示,密码泄露是超过80%的数据泄露的根本原因,高达51%的密码被重复使用,单次密码重置所需要的平均人工成本高达70美元。为解决纯密码登录所带来的数据泄露风险,苹果与多家科技企业合作,并与FIDO进行沟通交流,设立新的身份验证标准。FIDO联盟提出将纯密码身份验证的登录方式替换为跨网站和应用程序的安全快速登录模式。万能钥匙就是这种“安全快速登录模式”下的一项应用。


苹果在大会中指出,万能钥匙通过使用强大的加密技术和设备内置的生物识别技术来确认身份。用户只需要透过TouchID和FaceID进行身份验证来创建唯一的数字万能钥匙。该万能钥匙仅适用于创建它的站点,并存放在本地设备中,永远不会通过开放的网络进行传输。苹果方面表示,“由于万能钥匙永远不会离开用户的设备,黑客无法诱骗用户在虚假网站上共享。网站上没有任何秘密,因此密码无法泄露。”

无密码登录成为趋势

无密码登录正在成为商业趋势。6月6日,密码管理提供商LastPass宣布加入FIDO无密码运动。随后该公司将在其旗舰产品上新增无密码登录功能。而就在几天前,另一个密码管理软件1Password也宣布加入FIDO 联盟,使用户能够在没有密码的情况下登录自己的帐户。



今年5月5日,苹果、谷歌和微软就宣布支持由 FIDO 联盟和万维网联盟创建的通用“万能钥匙”标准,该标准将使用户能通过指纹或面部识别技术访问网站和应用程序。“万能钥匙”旨在合作消除现有的数十种繁琐且有风险的纯密码登录体系。谷歌方面表示,谷歌一直在与FIDO联盟合作,以消除过时的、基于密码的身份验证。该公司将在 Chrome、ChromeOS、Android 和其他平台上提供基于 FIDO联盟的技术支持,并将鼓励应用程序和网站开发人员应用这项技术。

微软身份项目管理公司的相关负责人则强调了“万能钥匙”的必要性:“任何可行的解决方案都必须比当今使用的密码和传统的多因素身份验证方法更安全、更容易和更快。”FIDO面对纯密码登录提出了相应的解决方案。未来,雅虎、eBay等越来越多的互联网企业都计划将参与到无密码登录计划当中。

除推行无密码登录外,为防范数据泄露风险,英国2022年网络安全漏洞调查显示,在英国,75%的企业和57%的慈善机构通过确保用户设置强密码策略,来防范用户密码泄露所带来的损失。