苹果、谷歌和微软携手支持无密码FIDO登录

在5月5日世界密码日，我们可能离密码成为过去又近了一步。

在共同努力下，科技巨头苹果、谷歌和微软周四上午宣布，他们已承诺在来年在其控制的所有移动、桌面和浏览器平台上建立对无密码登录的支持。实际上，这意味着在不久的将来，所有主要设备平台都将实现无密码认证：Android和iOS移动操作系统；Chrome、Edge和Safari浏览器；以及Windows和macOS桌面环境。

苹果平台产品营销高级总监库尔特·奈特（KurtKnight）表示：“正如我们将产品设计为直观且功能强大一样，我们也将其设计为私密且安全。”。“与业界合作，建立新的、更安全的登录方法，提供更好的保护并消除密码漏洞，是我们致力于构建提供最大安全性和透明用户体验的产品的核心，所有这些都是为了确保用户个人信息的安全。”

谷歌在周四发布的一篇博文中详细说明，无密码登录过程将允许用户选择手机作为应用程序、网站和其他数字服务的主要身份验证设备。使用任何设置为默认操作（输入PIN、绘制图案或使用指纹解锁）解锁手机，就足以登录到web服务，而无需输入密码，这可以通过使用称为passkey的唯一加密令牌实现，该令牌在手机和网站之间共享。

通过使登录取决于物理设备，用户将同时受益于简单性和安全性。如果没有密码，就没有义务跨服务记住登录详细信息，也没有义务通过在多个位置重复使用同一密码来破坏安全性。同样，由于登录需要访问物理设备，无密码系统将使黑客更难远程泄露登录详细信息；而且，从理论上讲，将用户定向到虚假网站进行密码捕获的网络钓鱼攻击将更难实施。

微软负责安全、合规、身份和隐私的副总裁VasuJakkal强调了跨平台的兼容性程度。Jakkal在一封电子邮件声明中说：“通过移动设备上的密钥，你几乎可以在任何设备上登录应用程序或服务，而不管设备运行的是哪个平台或浏览器。”。“例如，用户可以在Apple设备上使用密钥登录运行在Microsoft Windows上的Google Chrome浏览器。”

一种称为FIDO的标准使跨平台功能成为可能，该标准使用公钥加密的原理，在一系列上下文中实现无密码身份验证和多因素身份验证。用户的手机可以存储唯一的符合FIDO的密钥，并且只有在手机解锁时才会与网站共享该密钥以进行身份验证。根据谷歌的帖子，如果手机丢失，还可以通过云备份轻松地将密钥同步到新设备。

虽然许多流行的应用程序已经包括对FIDO身份验证的支持，但初始登录要求在配置FIDO之前使用密码，这意味着用户仍然容易受到网络钓鱼攻击，因为在这一过程中，密码会被截获或被盗。

但是，正如谷歌安全认证产品管理总监兼FIDO联盟主席Sampath Srinivas在发给边缘。

Srinivas说：“今天宣布的这一扩展的FIDO支持将使网站能够首次实现端到端的无密码体验，并具有防钓鱼的安全性。”。“这包括首次登录网站和重复登录。2022年和2023年，当整个行业都能获得密钥支持时，我们将最终拥有一个真正无密码未来的互联网平台。”

到目前为止，苹果、谷歌和微软都表示，他们预计新的登录功能将在明年跨平台提供，尽管尚未宣布更具体的路线图。虽然杀死密码的阴谋已经进行了多年，但有迹象表明，这一次，它可能最终成功了。