在 iOS 16 和 macOS Ventura 中,Apple 引入了密码——一种更方便、更安全的密码替代方案。
多年来,我们被承诺结束基于密码的登录。现在,无密码未来的现实正在向前迈出一大步,为数百万人推出了放弃密码的能力。当 Apple于 9 月 12 日推出iOS 16和下个月推出macOS Ventura时,该软件将包括用于 iPhone、iPad 和 Mac的密码替换,称为passkeys 。
密码允许您登录应用程序和网站,或创建新帐户,而无需创建、记忆或存储密码。该密钥由一对加密密钥组成,取代了您的传统密码,并在 iCloud 的钥匙串中同步。它有可能消除密码并提高您的在线安全性,取代您现在可能拥有的不安全密码和不良习惯。
Apple 推出的密码是迄今为止最大的免密码技术实施之一,它建立在FIDO 联盟多年工作的基础上,FIDO 联盟是一个由科技巨头组成的行业组织。Apple 的密钥是 FIDO 联盟创建的标准的版本,这意味着它们最终将与谷歌、微软、Meta 和亚马逊的系统一起使用。
使用密码类似于使用密码。在 Apple 的设备上,它内置在网站和应用程序用来让您登录的传统密码框中。密码作为唯一的数字密钥,可以为您使用的每个应用程序或网站创建。(谷歌和微软也在使用“密码”这个词,FIDO 称它们为“多设备 FIDO 凭据”。)
如果您是应用程序或网站的新手,您可以从一开始就创建密码而不是密码。但是对于您已经拥有帐户的服务,您可能需要使用您的密码登录到该现有帐户,然后创建一个密码。
Apple 对该技术的演示显示了在登录或创建帐户阶段出现在您的设备上的提示。此框将询问您是否要为您正在使用的帐户“保存密码”。在此阶段,您的设备会提示您使用 Face ID、Touch ID 或其他身份验证方法来创建密钥。
创建后,密钥可以存储在 iCloud 的钥匙串中并在多个设备之间同步——这意味着您的密钥将在您的 iPad 和 MacBook 上可用,无需任何额外工作。密码可在 Apple 的 Safari 网络浏览器及其设备上使用。它们还可以使用 AirDrop 与附近的 Apple 设备共享。
由于 Apple 的密钥基于 FIDO 联盟创建的更广泛的无密码标准,因此它们也有可能存储在其他地方。例如,密码管理器 Dashlane 已经宣布支持密钥,声称它是“与设备或平台无关的独立通用解决方案”。
虽然 Apple 推出了 iOS 16 和 macOS Ventura 的密码,但它的推出有几个警告。首先,您需要将设备更新到新的操作系统。其次是应用程序和网站需要支持密钥的使用——他们可以通过使用 FIDO 标准来做到这一点。在 Apple 更新之前,尚不清楚哪些应用程序或网站已经支持密钥,尽管 Apple在 2021 年的开发者大会上首次向开发者预览了该技术。
在底层,Apple 的密钥基于由 FIDO 联盟和万维网联盟 (WC3) 开发的Web 身份验证 API (WebAuthn )。密钥本身使用公钥加密来保护您的帐户。因此,密钥不是可以(轻松)输入的东西。
创建密钥时,系统会创建一对相关的数字密钥。“这些密钥是由您的设备为每个帐户安全且唯一地生成的,”Apple 身份验证体验团队的工程师 Garrett Davidson在一段关于密钥的视频中说。其中一个密钥是公开的并存储在 Apple 的服务器上,而另一个密钥是秘密密钥并始终保留在您的设备上。“服务器永远不会知道你的私钥是什么,而你的设备会保证它的安全,”戴维森说。
当您尝试使用密码登录其中一个帐户时,网站或应用程序的服务器会向您的设备发送“挑战”,实质上是要求您的设备证明是您在登录。私钥存储在您的设备上,能够回答这个挑战并将其响应发回。然后,该答案由公钥验证,然后允许您登录。“这意味着服务器可以确保您拥有正确的私钥,而无需知道私钥实际上是什么,”戴维森说。
因为 Apple 基于 FIDO 联盟标准开发了它的密钥,所以密钥可以跨设备和在网络上工作。如果您尝试在 Windows 机器上登录您的一个帐户,则必须使用稍微不同的方法,因为您的密码不会存储在该机器上。(如果它们保存在外部密码管理器中,您需要先登录)。
相反,例如,当您在 Google Chrome 中登录网站时,您必须使用 QR 码和您的 iPhone 来帮助您登录。QR 码包含一个包含一次性加密密钥的 URL。扫描后,您的手机和计算机可以通过蓝牙使用端到端加密网络进行通信并共享信息。
“这意味着通过电子邮件发送或在虚假网站上生成的二维码将不起作用,因为远程攻击者将无法接收蓝牙广告并完成本地交换,”戴维森说。这个过程发生在您的手机和网络浏览器之间——您登录的网站不参与其中。
除了苹果,其他科技公司也处于推出自己的万能钥匙技术的不同阶段。谷歌的开发者页面称,它的目标是“在 2022 年底”为 Android 开发者提供密钥支持。微软几年来一直在使用一些无密码登录系统,并表示“在不久的将来”,人们将能够使用 Apple 或 Google 设备上的密码登录微软帐户。
没有系统是万无一失的,但人们目前使用的密码是网络最大的安全问题之一。根据对数据泄露的分析,每年人们使用的最流行的密码都是“123456789”和“密码”。使用弱密码和重复密码是您在线生活面临的最大风险之一。
放弃密码得到了广泛的支持——FIDO 联盟几乎涉及所有大型科技公司,他们都在努力消除密码。美国网络安全和基础设施安全局局长 Jen Easterly 对今年 5 月采用无密码技术表示欢迎。
“每个密钥都很强大。它们永远不会被猜测、重复使用或脆弱,”Apple 在其密钥文档中说。“要真正解决密码问题,我们需要超越密码,”谷歌在自己对密码的描述中说。它声称密码将有助于减少网络钓鱼攻击——人们不能被欺骗分享他们的密码——而且密码不是黑客的目标,因为他们的详细信息没有存储在服务器上。
尽管人们对密码充满热情,但密码仍将存在很长时间。将人们从使用密码过渡到新的登录方法需要他们信任和理解新系统;应用程序和网站也需要支持密钥。还有一些悬而未决的问题,例如从 iOS 到 Android 的云备份是否兼容。密码还没有完全失效,但它已经到了那里。
