蘋果、谷歌和微軟近日宣布，他們將很快支持一種完全避免使用密碼的身份驗證方法，用戶只需解鎖智能手機即可登錄網站或在線服務。專家表示，這些改變將有助于抵御多種類型的網絡釣魚攻擊，并減輕互聯網用戶的整體密碼負擔。但值得注意的是，對于大多數網站來說，可能還需要數年時間才能真正迎來無密碼時代。

這些科技巨頭是行業主導密碼革新工作的一部分，這些密碼很容易被忽視，經常被惡意軟件和網絡釣魚攻擊竊取，或者在企業數據泄露后被曝光并被在線出售。

蘋果、谷歌和微軟是快速在線身份認證（FIDO）聯盟和萬維網聯盟(W3C)制定的無密碼登錄標準的積極貢獻者。過去十年，這些組織與數百家科技公司合作開發一種新的登錄標準，該標準可兼容多個瀏覽器和操作系統。

據 FIDO 聯盟介紹，用戶將能夠通過每天多次解鎖設備的相同操作來登錄網站——包括設備 PIN 碼、指紋以及面部識別等生物特征。

該聯盟在 5 月 5 日寫道：“與密碼和傳統的多因素認證技術（例如通過短信發送的一次性密碼）相比，這種新方法可以防止網絡釣魚攻擊，使登錄從根本上更加安全。”

谷歌安全認證主管兼 FIDO 聯盟主席Sampath Srinivas表示，在新系統下，你的手機將存儲一個名為“密碼”的 FIDO 憑證，用于解鎖你的在線帳戶。

“密碼使登錄更加安全，因為它基于公鑰加密，并且僅在你解鎖手機時才會顯示在您的在線帳戶中，”Srinivas 寫道。“要在你的電腦上登錄網站，只需將手機放在附近，系統就會提示你解鎖以進行訪問。完成此操作后，將不再需要手機，只需解鎖電腦即可登錄。”

蘋果、谷歌和微軟已經支持這些無密碼標準（例如“使用 Google 登錄”），但用戶需要在每個網站上登錄才能使用無密碼功能。在這個新系統下，用戶將能夠在許多設備上自動訪問他們的密鑰，無需重新注冊每個帳戶，可以用他們的移動設備登錄附近設備上的應用或網站。

SANS 技術研究所研究主任Johannes Ullrich稱該聲明是“迄今為止解決身份驗證挑戰最有希望的嘗試”。

“該標準最重要的部分是它不需要用戶購買新設備，而是可以使用他們已經擁有并會使用的設備來用作身份驗證。”Ullrich 說。

哥倫比亞大學計算機科學教授、早期互聯網研究者和先驅Steve Bellovin 稱，這種無密碼嘗試是身份驗證領域的“巨大進步”，但他還表示，許多網站需要很長時間才能趕上這種變革。

Bellovin 等人表示，在這種新的無密碼身份驗證方案中，存在一個潛在的棘手場景，即當有人丟失或損壞移動設備時，他們無法追回 iCloud 密碼時會是什么情況。

“我擔心那些買不起額外設備，或者無法輕易更換損壞或被盜設備的人，”Bellovin 說，“我擔心云帳戶密碼遺忘的恢復問題。”

谷歌表示，即使你的手機丟失了，“你的密鑰也會從云備份安全地同步到新手機上，讓你可以從舊設備停止的地方繼續使用。”

蘋果和微軟也有云備份解決方案，用戶可以使用這些平臺從丟失的移動設備中恢復。但Bellovin表示，這在很大程度上取決于管理此類云系統的安全性。

“在未經授權的情況下將另一臺設備的公鑰添加到帳戶中有多容易？” Bellovin想知道。“我認為他們的協議讓這變得不可能，但其他人不同意我的看法。”

加州大學伯克利分校計算機科學系講師Nicholas Weaver表示，對于“丟失手機和密碼”的情況，網站仍然需要一些恢復機制，他稱這是“一個很難解決的問題，已經是我們當前系統中最大的弱點之一”。

“如果你忘記密碼，丟失了手機，并且可以找回它，這將成為攻擊者的巨大目標。” Weaver在一封電子郵件中表示。“如果你忘記密碼丟失手機而且不能找回，那么現在你已經丟失了用于登錄的授權令牌。它必須是后者。蘋果擁有支持它的基礎設施（iCloud 鑰匙串），但尚不清楚谷歌是否支持。”即便如此，他表示，整體 FIDO 方法一直是提高安全性和可用性的絕佳工具。

“這是向前邁出的非常好的一步，我很高興看到這一點，”Weaver表示，“利用手機的強大身份驗證功能（如果你有一個像樣的密碼）非常好。至少對于 iPhone 來說，即使手機受到攻擊，你也可以讓它變得安全牢固，因為它的Secure Enclave技術可以處理這個問題，而Secure Enclave不信任主機操作系統。”

科技巨頭們表示，新的無密碼功能將于明年在蘋果、谷歌和微軟平臺上啟用。但專家表示，小型網站可能需要幾年時間才能采用該技術并完全放棄密碼。

最近的研究表明，仍有很多人重復使用或回收密碼（稍微修改相同的密碼），當這些憑據最終暴露在數據泄露中時，將會帶來帳戶被入侵的風險。網絡安全公司SpyCloud 在3 月的一份報告中發現，64% 的用戶在多個帳戶中重復使用同一密碼，而且在之前的入侵中泄露的密碼，有70% 仍在使用中。