密码很麻烦。它们对我们数据的安全至关重要,但又难以记忆和管理。而且,似乎由于各种新的黑客攻击或安全漏洞,我们不得不经常更换密码。但密码的时代可能即将结束:FIDO Alliance——一个由微软、谷歌、VISA、万事达卡、PayPal 等巨头组成的非营利组织——已经发布了其最终规范,旨在彻底淘汰密码。
该规范有些技术性,但其核心在于减少密码。FIDO 提供了两种选择:一种是无密码登录方式,另一种是双因素登录方式。在前者的情况下,当您注册使用 FIDO 技术的新服务、应用程序或网站时,您将选择如何验证该账户(就像您当前指定用户名和密码一样)。但这种方式不是密码,而是 PIN 码或生物识别因素——例如指纹、语音口令或面部识别。更安全的双因素方式仍然依赖于密码,但这意味着您还需要其他东西,比如 USB 密钥,来证明您的身份。在这两种情况下,身份验证信息都存储在您的设备上并进行加密,而不是存储在服务器上,这使得黑客更难破解。
如今,像苹果 iPhone 6 和三星 Galaxy S5 这样的智能手机已经提供了指纹识别功能,所以您可能会想,这有什么大不了的。与那些技术不同,FIDO 不是面向消费者的解决方案:它是一个可以免费集成到应用程序和网站中的软件系统——而且它可以与各种不同的硬件协同工作。虽然移动设备可能依赖于内置的指纹扫描仪,但笔记本电脑或台式电脑可能更适合使用 USB 密钥。
PayPal 已经在其 Android 应用中加入了 FIDO 支持,可与三星 Galaxy S5 的指纹传感器配合使用,谷歌也正在允许使用 FIDO 兼容的 USB 密钥作为其双因素验证流程的一部分(适用于台式机和笔记本电脑)。Nok Nok Labs 也已创建了应用程序开发人员即将可以在 Android 或 iOS 上使用的解决方案,这意味着您已经使用的服务、应用程序和网站都可以添加 FIDO 身份验证支持,如果它们愿意的话。
话虽如此,也存在一些潜在的限制。标准比比皆是,尽管 FIDO 汇集了众多重量级公司,但仍有一些名字缺失:其中最突出的是苹果。这不足以完全阻碍 FIDO,但考虑到苹果的巨大影响力,它可能会减缓 FIDO 的普及。(例如,最近推出的 Apple Pay——仅适用于苹果设备——尽管这项技术已经存在多年,却极大地推动了无线支付。)而且,虽然 FIDO 正在努力使其系统尽可能有吸引力,但一些公司无疑会因为需要重做其身份验证基础设施而犹豫不决。
但有一点是明确的:安全漏洞层出不穷,我们不能再指望密码来保护我们了。FIDO 真的会是密码终结的预兆吗?我希望如此,尽管我仍然怀疑任何能够真正淘汰密码的东西——就像那个绿色大怪物一样。
