吳明宜5 月 5 日是世界密碼日,然而在這一天,科技巨擘蘋果、 Google 與微軟卻將攜手終結密碼。這三大主要作業系統廠商宣佈將擴大支援由 FIDO 聯盟及 W3C 推動的通用無密碼登入標準。
標準稱為多裝置 FIDO 憑證,或單純叫 Passkey,目的在讓使用者以手機作為 App 、網站或其他數位服務的驗證裝置,完全不需要輸入密碼。蘋果、 Google 和微軟明年將在各自的行動裝置、桌機平台和瀏覽器上實作對 Passkey 的支援,包括 Android 、 iOS 、 Windows 、 macOS 以及 Chrome 、 Edge 與 Safari 。
Passkey 的跨平台功能是以 FIDO 標準為基礎,後者利用公鑰加密法產生無密碼驗證及多因素驗證以用於各種情境。實際使用時,使用者將獨特的 FIDO 相容憑證存在手機上,當用戶從桌機使 App,或以瀏覽器上到網站時,該 App 或網站對發出驗證要求,請求提供憑證。這時手機將憑證分享給鄰近的桌機,也只有在手機解鎖情況下,才能將憑證分享給鄰近裝置。
用戶欲解鎖手機,需輸入預先設定的 PIN 碼或生物特徵(如指紋)、在螢幕上畫一個圖形進行驗證,完成後就可以使用,也不需再輸入一長串數字或符號。
而一如密碼管理員統一儲存、管理密碼,用戶可將 passkey 備分在平台持有者,如蘋果或 Google 的雲端,防止憑證失竊、方便同步、或日後將憑證搬到新裝置上。如果你手機掉了,登入到蘋果或 Google 帳號也可輕鬆復原。
不同於現行的 2FA 跑在網際網路,這個新 FIDO 標準卻仰賴藍牙。根據標準白皮書說明,藍牙要求實體鄰近性 (physical proximity),這表示可免於釣魚連結攻擊。雖然對現代手機和筆電來說,藍牙是基本配備,不過舊 PC 上就會成問題。
目前已有不少 App 和網站支援 FIDO 驗證也號稱是無密碼登入,但是在一開始設定 FIDO 前,首次登入 App 還是需要使用到密碼,這表示用戶還是可能遭到釣魚攻擊而被攔截密碼。 Passkey 則是做到完全不需要密碼,完全免除釣魚攻擊,Google 表示,等業界在今年或 2023 年逐漸支援 passkey 後,就可以實現真正無密碼未來。
來源:Ars Technica