具体来说,是想让我们用户在登录各种设备时,可以「跟密码说再见」。
也是,在数字生活中,多多少少会跟以上几家巨头打交道。
打开电脑,有个微软账号;打开iPhone,有苹果账号。
而在手机和电脑里,各种软件不计其数,又衍生出更多个账号和密码。
So,记住密码,成为一项技术活。机哥以前就介绍过帮忙管理密码的App;包括浏览器也有自动记录密码,让登录步骤变得更方便。
但是嚯,始终需要靠我们自己花心思去管理密码,其他方法都是辅助罢了。
这回苹果微软谷歌三巨头合作,就是希望我们能在密码上折腾少一些,登录时候方便些,并且账号更安全些。
具体怎么提升?要从FIDO标准说起。
FIDO是「在线快速身份认证」的简称,简单理解为用账号密码登录时的一个步骤好了。
有步骤,就会慢慢形成步骤的标准。于是在2012年,FIDO联盟成立。
这联盟将我们常用的登录方式,做出了两套框架。
一是UAF,生物认证框架。
看图就好理解,像面部、声音、虹膜、指纹识别等,都算在生物认证密码里。
登录时,通过个人独有的指纹等生物特征,我们可以省去再输入密码的步骤。
二是U2F,双因素认证标准。
用词有点绕口,举个例子大家就明白。
在电脑登录游戏平台Steam时,除了要输入密码,还要输入Steam令牌。
这令牌是串随机数字,由指定手机发出。
再比如微软出的Microsoft Authenticator软件,有些账户登录时,也需要通过这个App,进行双重验证。
听起来,是不是有点像银行U盾的操作?
正好,苹果商店有个产品就通过了FIDO认证,它长得跟U盾似的。
它名叫YubiKey 5Ci,支持闪电接口。这玩意儿省去输入随机数字那一步,直接插进苹果手机或电脑中,就完成了双重验证。
总的来说,FIDO总结的两套规范,目的都能提高登录安全性。
跟单纯数字密码相比,指纹、虹膜等生物特征,更难复制;跟手机短信验证码等相比,随机令牌数字更难被劫持追踪。
以上两套基本框架确定后,FIDO联盟推出2.0规范。
2.0更近一步的地方在于,将「跟密码说拜拜」的计划,延伸到不同设备、不同App之间。
这套加密方法叫「私钥-公钥」,私钥在手,公钥是否被网络攻击啥的,就显得没那么重要。
好比你进家门,你个人有一串私人密码,谁也接触不到。
在楼道里,有一串公共密码。小芳寄一封信给你,填了你的公用密码,寄到你楼道里,送信人却打不开你家门,因为没有私人密码。
FIDO 2.0规范也是这样,上传到服务器里的都是公钥,私钥只在你自己手里。
具体应用呢,比如你打开购物网站,想网购一个东西,这时要调用你的在线支付账号,才能付款。
FIDO规范走到2.0这步,就是希望能够做到跨平台、跨设备,都支持无密码登录。
现在再回头看机哥文章开头说的,苹果、谷歌和微软搞合作,估计就朝着这方向。
三家承包了全球最主流的手机系统iOS和安卓,还有无数人在用的Windows系统。同时,它们也创造着数以亿计的硬件设备。
想要账户登录越来越安全和方便,可不得三家合作嘛!
其实科技巨头们对密码认证的探索,一直在持续进行中。只不过比起其他更新,要来得更低调些。
去年WWDC上,苹果宣布可以用 Face ID 和 Touch ID 这两种账户认证,来代替输入密码。
但这个更新点感知并不强,而且具体怎样跨平台登录,还需要三巨头给出更多的想象力。
FIDO这边给出的设想是,无论你iOS、安卓,还是Windows,全部互通。
只需一种验证方式,畅游全平台。
比如用指纹验证,录入后,解锁iPhone能用,苹果账号能用,在这台iPhone上登录的社交App、音乐App等等,全都能用指纹验证,不用再一个个登录账号密码了。
安卓也是一样道理。那社交App、音乐App都能跨平台使用的,意味着,刚才在iPhone上用指纹登录的App,转身换到安卓上照样能用指纹登录。
但一个全新的设备,怎样接受你的指纹呢?
FIDO白皮书中提到的是,希望iOS、安卓设备能够从系统底层,就安排上整个认证过程。
我们希望认证器供应商在他们的认证器实现中做出这一改变。
具体怎样安排,机哥不知道。但我知道这带来的效果,就是以后无论用iOS还是安卓,都不用逐个账号去记住密码了。
甚至,能跟电脑无缝衔接。
比如想在电脑网页上登录邮箱,你之前通过指纹验证的手机也在旁边,那不用在电脑上输入邮箱密码,而是由手机弹窗出来一个「指纹验证请求」。
这样,在手机上按下指纹,电脑那边就能登上邮箱了。
FIDO联盟的设想很美好,但具体怎么实施,还得看具体厂商了。
或许在今年即将到来的WWDC 2022上,我们能再听到苹果聊一聊密码、安全、隐私那些事儿。
然后,再介绍些免密码登录的新操作。
其实在前些年,苹果并没跟FIDO联盟合作,现在又同意了。
在合作声明中,提到「为了使网络更加安全和可供所有人使用」这句话,划重点。
机哥是深有感触啊,对我们来说,管理密码实在太繁琐了。
如果图方便用相同的密码,某个账号密码泄露,其他所有账号密码都要改。
苹果密匙、谷歌浏览器密码泄露提醒,大家都收到过吧?
想想都磨人。
无需通过输入大量密码,安全、自由地穿梭在各个平台和App之间,那真是刚需。
愿景挺美好,但要实现估计还需要时间。
省去输密码的身份认证方式,苹果可以单独做,微软谷歌都可以,但要统一起来,让使用者得到最大方便,确实离不开「标准化」。
或许,这就是FIDO这类联盟存在的意义?
但是,机哥又要说但是喽。标准也不只有一家联盟能定。
就拿跟小钱钱有关的移动支付来讲,全球支付规范标准组织 EMVCo 的确跟 FIDO 联盟展开过合作,使得在移动支付时,免去密码的操作能纳入 FIDO 内。
移动支付,我们熟啊!支付宝、微信支付、京东支付......不天天都在用嘛。
但机哥怎么记得,支付宝有自己的认证标准呀?
它叫IIFAA。
微信支付那边,也有一套,叫SOTER。
啊这,看来搞个统一标准真不容易。
但机哥可以确定的是,无论用哪个标准,各平台之间能更便捷登录,依然是发展方向。
看FIDO官网上,各科技公司大合照的架势,机哥就能感受到,一个手机登录方式彻底大变样的未来,在向我们招手呢~
图片来自网络