斯里尼瓦斯说无密码登录可大大增强网络安全,“网站使用公开金钥加密技术,只有用户解锁手机才能登录。这确保用户的信息不会轻易外泄,能应对钓鱼(phishing)、诈骗、密码泄露等威胁。不用密码登录,会大大简化用户的登录过程,他们只须解锁设备,不用记得和输入任何密码。”
斯里尼瓦斯坦言,无密码登录是一个新模式,大家刚开始接受度可能比较慢,一旦全球人逐渐习惯,采用速度将非常迅速。“大家可能会觉得‘失去控制’,因为他们无法只凭记忆登录。不幸的是,正是有这样的‘控制’才让密码登录变得很不安全,因为黑客会一直尝试从用户窃取个资。不过我认为这种失去控制的感觉会随着时间消退。”
无密码也不可放松警惕
萨姆帕特·斯里尼瓦斯(Sampath Srinivas)是谷歌信息安全产品管理总监,也是FIDO联盟主席。他接受《联合早报》专访时说,FIDO研究和推动无密码登录标准已超过10年,至今才水到渠成。“其实科技业者一直在合作,希望未来能达到无密码登录。过去10年,科技业取得许多里程碑,互联网现在终于有基建,让用户可以既安全又容易登录网站或应用。无密码登录还需要很多年才会普及化,但我们现在可以加快这过程。”
斯里尼瓦斯说,科技只能帮到某程度,大家还是要保持警惕,遵守基本的网安规则,例如不要随便放置笔电,进行银行转账前确认收款人身份等,“要长点心眼,不要轻易相信任何人。”
桌上电脑或笔电特别容易出现这类网安问题,因此他建议使用Chromebook笔电,因为它们无法安装软件,只能使用Chrome浏览器。“如果你无法安装软件,就无法被黑客攻击。”
谷歌、微软与苹果计划扩大对无密码登录标准的支援,让使用者不管使用任何设备或操作系统,都能不用密码登录网站及应用程序。当用户想用电脑登录网站时,只须把手机放在附近,便会收到解锁通知。手机一旦解锁,用户以后不再需要手机,可以直接在电脑登录到网站。例如,用户能以苹果手机内的私钥,在微软操作系统笔电上,用谷歌Chrome浏览器登录网站。就算遗失手机也没问题,用户可通过云端把私钥跟新手机无缝连接。
由于有太多密码要记,许多人在不同账号会重复使用密码,导致严重的网安问题。一旦密码泄露,黑客可登录用户的多个账号,盗窃电子邮件、银行款项和社交媒体个人资料等。谷歌去年的一项调查发现,82%的新加坡人在多个账号重复使用密码,而44%受访者会随意跟家人和朋友分享密码。
你是不是常常忘记登录密码?登录网站和应用程序前,通常要先输入密码,现代人要记住的密码一大堆,很多人都有忘记过密码的经历。最近有一则好消息,世界三大科技巨头苹果、谷歌和微软宣布,将扩大对FIDO联盟的无密码登录标准的支持,人们最快明年或可不必使用密码登录网站。
记性不好,经常忘记密码?世界三大科技巨头苹果、谷歌和微软,宣布扩大对FIDO联盟的无密码登录标准的支持,人们最快明年或可不必使用密码登录网站和应用。这项技术也大大增强网络安全。
就算全球人接受无密码登录,并不意味人们可以放松警惕。斯里尼瓦斯说,黑客以后无法通过互联网窃取密码,但是网上还是有其他危险。“大家不应该随便安装不知名或没有信誉的软件或应用,因为它们可能有安全隐患。比如你安全地登录银行网站,但是坏软件还是可以暗地里执行非法转账。”
无密码登录可加强网安
他以汽车当初推行自动变速器为例,“人们当时觉得没有手排挡,就无法控制要使用哪一挡。人们后来慢慢接受,之后自动变速器开始盛行,例如北美现在几乎所有车子都使用自动变速器,车子变得更安全和节能等。我相信无密码登录也会经历类似的S曲线过程。”
FIDO是一个非盈利联盟,是“Fast IDentity Online”的英文缩写,成员包括苹果、谷歌、微软、亚马逊、英特尔、三星等。在传统密码的验证架构中,用户的设备与伺服器之间互相都知道账号与密码。FIDO采用“公开金钥加密”(public key cryptography)的验证模式,FIDO认证的伺服器只保存相对应的“公钥”,而“私钥”(passkey)则仅保存在用户的设备(如手机)中,用户须通过指纹或脸部识别解锁设备,才能用私钥配对公钥登录。