網路釣魚詐騙事件層出不窮,一部分原因在於我們過度依賴密碼,尤其反覆使用同組密碼,還可能導致恐怖的連鎖效應。現在科技三巨頭打算合作,解決這個最重大的網路安全問題之一。
5 月 5 日,蘋果、Google、微軟共同宣佈要擴大支援 FIDO 聯盟和全球資訊網聯盟(W3C)共同制定的一般性無密碼登入標準,創造更方便、安全的登入技術。蘋果新聞稿寫到,這項新功能將使網站和 app 得以為消費者帶來橫跨多種裝置和平台,更具持續性、更安全、更簡易的無密碼登入。
目前使用者可以借助密碼管理器,將隨機密碼儲存在瀏覽器上,不需要記住多個一長串的亂碼。又或者使用平臺提供的雙重認證(或稱多因素認證),不過這個方法需要透過多個裝置才能實現,且這項機制也存在漏洞,特別是透過簡訊的雙重認證,由於缺乏加密保護,容易被駭客破解。
微軟身份認證項目管理副總裁 Alex Simons 說道:「任何有望成功的解決方案,都必須比目前通用的密碼和傳統多因素認證方式更為安全、方便而快速。」
FIDO 目前已經與上百家科技公司、服務提供者合作,制定數十億部裝置和所有現代 Web 瀏覽器皆支援的無密碼登入標準。同時,蘋果、Google、微軟也正在各自瀏覽器上建立相關支援。
而本次計畫將進一步擴大至每個網站與 app,並且為使用者帶來兩項新功能:一、讓使用者在多種裝置(包括全新裝置)上,自動存取他們的 FIDO 登入憑證(或稱為「密鑰」),而無須重新註冊每個帳戶;二、讓使用者在行動裝置上使用 FIDO 認證,以透過附近的裝置登入 app 或網站,無論這些裝置執行的是何種 OS 平臺或瀏覽器皆然——這兩項功能預計於一年之內在蘋果、Google、微軟平臺上推出。
Google 產品管理資深總監 Mark Risher 表示:「我們期待在 Chrome、ChromeOS、Android 和其他平台上,普及基於 FIDO 標準的技術,並鼓勵 app 與網站開發者採用此一標準。」
FIDO 聯盟執行總監兼行銷長 Andrew Shikiar 表示:「此項新功能將帶來新一波低摩擦的 FIDO 實施方式,從而賦予服務提供者全方位的選項,以配置現代化的防釣魚認證方式。」
三巨頭的合作將加速「無密碼」的普及,基於標準的驗證功能得到擴展後,網頁和 app 將能提供端對端無密碼選項。依照 FIDO 的說法,無論你使用的是何種 OS 平臺或瀏覽器,將可透過與解鎖裝置相同的操作,以指紋或臉部的簡單驗證,或裝置 PIN 等方式登入。