您的手机可能很快会取代您的许多密码 – Krebs on Security

苹果和 谷歌 和 微软 他们本周宣布，他们将很快支持一种完全避免使用密码的身份验证方法，而是要求用户只需解锁智能手机即可登录网站或在线服务。 专家表示，这些变化应该有助于抵御多种类型的网络钓鱼攻击并减轻互联网用户的整体密码负担，但他们警告说，没有密码的真正未来可能仍远离大多数网站。

照片：博客.google

这些科技巨头是行业主导的密码替换工作的一部分，这些密码很容易被遗忘，经常被恶意软件和网络钓鱼计划窃取，或者在企业数据泄露后泄露和在线销售。

Apple、Google 和 Microsoft 是 FIDO（“Fast Identity Online”）联盟建立的无密码登录标准的最积极贡献者之一，并且 万维网联盟 (W3C)，这些小组在过去十年中与数百家科技公司合作开发了一种新的登录标准，该标准在多个浏览器和操作系统中都可以正常工作。

根据 FIDO 联盟的说法，用户将能够通过每天多次解锁设备的相同程序登录网站——包括设备 PIN 码或指纹或面部扫描等生物识别技术。

该联盟在 5 月 5 日写道：“与传统的多因素密码和技术（例如通过 SMS 发送的一次性密码）相比，这种新方法可以防止网络钓鱼，并使登录更加安全。”

Sampath Srinivas谷歌安全认证主管兼 FIDO 联盟负责人表示，在新系统下，您的手机将存储一个称为“密码”的 FIDO 凭证，用于打开您的在线帐户。

“密码使登录更加安全，因为它基于公钥加密，并且只有在您解锁手机时才对您的在线帐户可见，”Srinivas 写道。 “要在您的 PC 上登录网站，您只需要靠近您的手机，您只需解锁它即可访问它。一旦您这样做，您将不再需要您的手机，您可以在解锁后登录你的电脑。”

像 ZDNet 笔记Apple、Google 和 Microsoft 已经支持这些无密码标准（例如“使用 Google 登录”），但用户需要在每个网站上登录才能使用无密码功能。 在这个新系统下，用户将能够在他们的许多设备上自动访问他们的密钥 – 无需重新注册每个帐户 – 并使用他们的移动设备登录附近设备上的应用程序或网站。

约翰内斯·乌尔里希院长搜索 桑斯理工学院该公告称“迄今为止解决身份验证挑战的最有希望的努力”。

“该标准最重要的部分是它不需要用户购买新设备，而是可以使用他们已经拥有并知道如何用作身份验证器的设备，”Ulrich 说。

史蒂夫·贝洛文哥伦比亚大学计算机科学教授和早期互联网 研究员和先驱，将无密码的努力描述为身份验证的“巨大进步”，但表示许多网站要赶上它需要很长时间。

Belovin 和其他人说，新的无密码身份验证系统中一个潜在的棘手场景是，当有人丢失他们的移动设备，或者他们的手机坏了并且不记得他们的 iCloud 密码时会发生什么。

“我担心人们无法购买额外的设备，或者无法轻松更换损坏或被盗的设备，”贝洛文说。 “我担心恢复忘记的云帐户密码。”

谷歌 说 即使您丢失了手机，“您的密钥也会从您的云备份安全地同步到您的新手机，让您可以从旧设备停止的地方重新开始。”

苹果和微软也有云备份解决方案，使用这些平台的客户可以使用这些解决方案从丢失的移动设备中恢复。 但 Belovin 表示，很大程度上取决于这些云系统的管理安全程度。

“在未经许可的情况下将另一台设备的公钥添加到帐户中有多容易？” 贝洛文问道。 “我认为他们的协议使这成为不可能，但其他人不同意。”

尼古拉斯·韦弗计算机科学系讲师 加州大学伯克利分校他说网站应该仍然有一些恢复机制来应对“你丢失了手机和密码”的情况，他将其描述为“一个很难安全完成的问题，这确实是我们当前系统的最大弱点之一。”

“如果你忘记了密码并丢失了手机并设法取回它，那将是攻击者的一大目标，”韦弗在一封电子邮件中说。 “如果你忘记了密码并且丢失了手机并且你不能，那么现在你已经丢失了用于登录的授权码。它应该是最后一个。Apple 有支持它的基础设施（iCloud 钥匙串），但它是不清楚谷歌是否这样做。”

然而，他说，FIDO 的通用方法是提高安全性和可用性的绝佳工具。

“这真的是向前迈出的一大步，我很高兴看到这一点，”韦弗说。 “利用手机所有者的强大手机身份验证（如果你有一个像样的密码）非常酷。至少对于 iPhone，即使手机受到攻击，你也可以让它变得强大，因为它是可以处理这个问题的袖珍保险箱和安全的口袋不信任主机的操作系统。”

科技巨头表示，新的无密码功能将在“明年”在苹果、谷歌和微软平台上启用。 但专家表示，较小的网络目的地可能还需要几年时间才能采用这项技术并完全放弃密码。

最近的研究表明，太多的人仍在重复使用或重复使用密码（稍微修改相同的密码），当这些凭据最终在数据泄露中暴露时，存在帐户被接管的风险。 一种 报告 三月某网络安全公司 间谍云 它发现 64% 的用户重复使用多个帐户的密码，并且 70% 在以前的违规行为中遭到破坏的凭据仍在使用中。

2022 年 3 月提供的关于 FIDO 方法的白色文档 这里 （PDF）。 有问题和答案 这里.