分析微软、苹果和谷歌——所有长期支持取消密码以进行身份验证的人——都在支持由 FIDO 联盟和万维网联盟 (W3C) 制定的可以完全消除密码短语的标准。
今年某个时候或 2023 年初,这三大美国巨头将实施这些标准,以便人们可以使用熟悉的无密码身份验证方法登录在线服务和应用程序,例如他们用来解锁的设备 PIN 或指纹或面部扫描他们的设备,FIDO——Fast Identity Online 的缩写——联盟周四宣布。
希望这将为不涉及召回密码的软件和网站带来一致且易于管理的跨平台身份验证。
微软、苹果和谷歌等数百家科技公司和服务提供商与 FIDO 和 W3C 合作开发这些免密码登录标准。FIDO 联盟执行董事兼首席营销官 Andrew Shikiar 表示,这些知名科技公司的支持以及引入这些新开发功能的承诺有望加速它们的采用。
Shikiar 说:“随着安全密钥的持续使用和不断增长,这项新功能将迎来新一波低摩擦 FIDO 实施浪潮,为服务提供商提供部署现代、防网络钓鱼身份验证的全方位选择。”
密码一直是一个持续存在的安全问题,尤其是在 COVID-19 大流行以及随之而来的向远程服务和混合工作时间表的转变之后。微软认为每秒有 579 次涉及密码的攻击,即每年约180 亿次,其中许多是成功的,主要是因为人们倾向于选择不良密码或在多个帐户中重复使用它们。
在 3 月初的一份报告中,网络安全供应商 SpyCloud 的研究人员发现,用户继续对多个帐户使用相同的密码以及弱密码或普通密码。SpyCloud 的报告发现,64% 的用户重复使用多个帐户的密码,并且 70% 的过去被泄露的密码仍在使用中。
FIDO 的骨干
十年来,FIDO 一直在推动采用无密码方法,通过 USB 硬件密钥等技术以及 – 与 W3C – WebAuthn 安全规范。3 月,这两个小组推出了另一个版本的 WebAuthn。
所以现在我们被告知 Office 和 Azure、iPhone 和 iCloud 以及 Chrome 和 Gmail 背后的人将实施 FIDO 和 W3C 新标准化的功能,这些功能应该使使用非密码登录方法更容易,无论操作系统和平台如何,包括使用户能够在其设备上自动访问其 FIDO 登录凭据(也称为“密码”),而无需重新注册每个帐户。此外,人们应该能够使用他们正在运行的任何操作系统或浏览器在他们的移动设备上使用 FIDO 身份验证来登录附近计算机上的网站或应用程序。
微软负责身份项目管理的企业副总裁亚历克斯西蒙斯谈到最新的 FIDO 和 W3C 支持的功能时说:“向无密码世界的彻底转变将始于消费者使其成为他们生活中自然的一部分。” “任何可行的解决方案都必须比当今使用的密码和传统的多因素身份验证方法更安全、更容易、更快。”
网络安全公司 Keeper Security 的联合创始人兼首席技术官 Craig Lurey 告诉The Register,密码使用并没有好转云服务,他说。此外,Lurey 指出,在其所有工作中,FIDO“并未解决在零知识和零信任环境中加密用户数据的需求”。
微软在取消密码方面一直特别直言不讳,并在 2021 年 9 月表示,用户可以通过使用 Microsoft Authenticator 应用程序、Windows Hello、安全密钥或发送到手机的验证码来从其 Microsoft 帐户中删除密码或电子邮件。
谷歌产品管理高级总监 Mark Risher 表示,供应商与 FIDO 和 W3C 的合作“证明了整个行业为加强保护和消除过时的基于密码的身份验证所做的协作工作。”
玩长线游戏
网络安全公司 YouAttest 的首席执行官 Garret Grajeck 告诉The Register,越来越多地采用无密码技术的关键在于设备,其中微软、苹果和谷歌占据主导地位,并且已经实施了身份验证机制。
Grajeck 说:“责任就变成了三巨头的这些因素的安全性,然后是从这些设备到依赖方的 SSO 的安全和实施——其他网络、移动和本地应用程序。” “鉴于我们在供应链黑客和其他黑客方面存在的问题,在这个领域会发生更多的黑客行为并非不可预见。”
单因素、无密码登录存在太多功能、逻辑和安全问题,无法在一夜之间成为常态
Keeper Security 的 Lurey 表示,在加速采用之前,它将采取一系列步骤——从供应商将多因素身份验证等技术构建到他们的网站和应用程序中,用户不仅要接受技术教育并信任它,还要依赖他们的移动设备.
“我们至少还会再使用十年密码,”他说。“单因素、无密码登录存在太多功能、逻辑和安全问题,无法在一夜之间成为常态。”
身份验证供应商 Token 的首席执行官 John Gunn 告诉The Register,“世界密码日类似于全国剪刀跑日。这两种活动本质上都是不安全的,根据统计分析,后者要安全得多。
“自首次实施密码以来,密码的安全性或缺乏安全性在 61 年间仅略有进步。现在是我们集体……承诺完全消除密码的时候了。”