数据观澜人工智能
快捷导航
您的位置:首页>网络安全>>苹果,微软,Google终于决定要干掉密码了! >

苹果,微软,Google终于决定要干掉密码了!

  发布时间:2025-12-07 14:46:34   作者:玩站小弟   我要评论
说起密码,你会想起什么?密码太多,记不住?图省事所有网站用同一个密码,一个泄露了,手忙脚乱地去改密码?网站被脱库,数据库信息泄露,密码丢失?这一切都的根本原因就是:服务器保存了我们的密码不管是明文的还 。

说起密码,苹果你会想起什么?微软

密码太多,记不住 ?终于

图省事所有网站用同一个密码 ,一个泄露了  ,决定手忙脚乱地去改密码 ?干掉

网站被脱库,数据库信息泄露 ,密码密码丢失?苹果

这一切都的根本原因就是:服务器保存了我们的密码(不管是明文的还是Hash过的) 。

我们需要把自己记忆的微软密码发给服务器做验证,这就给了攻击者可乘之机 。模板下载终于

那能不能别保存密码了  ,决定换个方式,干掉让服务器保存我们的密码指纹 、虹膜等信息 ,苹果行不行  ?微软

万万不可 ,这样虽然不用记忆各种密码了  ,终于但攻击者一旦获得这些生物信息,那就可以假冒我们 ,真是可以为所欲为了 。

并且本质上它和保存密码是一样的 ,都是“和服务器共享了一个秘密”。高防服务器

那就别和服务器共享秘密了吧 !可是如果不共享,服务器怎么知道“你就是你”呢 ?服务器无法做身份验证(Authentication)了!

这个问题早在几十年前就被迪菲和赫尔曼考虑过了 ,他们提出了非对称的密钥算法  。

这种算法中每个人可以持有一对密钥 :public key (公钥)和 private key (私钥) 。

只不过,迪菲和赫尔曼并没有找到一个合适的算法来生成公钥和私钥, 一年后 ,麻省理工学院的三个教授基于大数的因数分解提出了RSA算法,服务器租用才解决了这个问题。

利用非对称这种漂亮的性质,我们为自己的账号生成一对儿公钥和私钥 。

私钥自己保存,公钥发给服务器保存,这样就不用和它共享秘密了 。

登录的时候,服务器给我们发一段随机消息,我们对它做签名(即对消息做Hash ,然后用本地保存的私钥加密),把签名发给服务器,服务器用对应的免费模板公钥来验证签名  ,如果签名没问题,就证明了这的确是一次合法的登录 。

私钥非常重要 ,不能让任何人知道 ,不能发给任何系统,最好是保存在本地的一个硬件中,通过指纹、面部识别 、声音 、PIN等方式来访问。源码库 

这里引入了一个新的抽象层,认证器,让它和服务器打交道 ,我们只是用指纹等手段授权对私钥的访问 。

计算机的任何问题都可以引入一个抽象层来解决,真是至理名言 。

用这种方式 ,登录将会变成这样 :

1.输入用户名

2.点击登录

3.生物识别(指纹等)

4.登录成功

即使网站被脱库,攻击者拿到了公钥 ,也没法冒充你干坏事 ,因为公钥本来就是源码下载公开的 。

他想获得私钥的途径就是拿到认证器(比如保存在手机中),但是想使用认证器还需要你的指纹等生物信息,这对于茫茫互联网上两个未曾谋面的人来说太难了。

说到这里,不由地再感慨一下,提出和实现非对称密钥的前辈们实在是太伟大了 。

这种认证方式不是我想出来的,是一个叫做FIDO(Fast IDentity Online)联盟提出想法,并且制定了一系列FIDO协议。 

FIDO概念简单,想真正实现是很难的。

我们用浏览器登录网站的时候 ,网站系统得改造,支持FIDO协议。

浏览器也得支持FIDO协议 ,可以提示用户用FIDO的方式注册或者登录 。

浏览器还需要和认证器进行交互,用户提供生物信息授权访问认证器,这就得需要硬件和操作系统出马了。

如果笔记本和台式机没有指纹识别等设备 ,还得考虑和手机的联动(例如让手机扫个二维码 ,然后使用手机端认证器。)

这涉及到多方利益,是个生态系统,不是一家公司能搞定的 ,所以FIDO是个联盟,包含了全世界的IT大佬 。

在这些IT大佬中 ,有三位举足轻重:

Google :   Android + Chrome浏览器Apple  :iOS + Safari浏览器微软:  Windows + Edge浏览器 

这三位几乎统治了操作系统和浏览器市场 ,没有它们的参与 ,FIDO是玩不起来的 。 

今年5月,Google , Apple和微软宣布加大力度,推进对FIDO通用无密码登录标准的支持 ,努力实现无缝 、安全的无密码登录 :

1.允许用户在多个设备(甚至新设备)上自动访问FIDO登录凭证(私钥) ,而不需要重新注册户

2. 在任何操作系统和浏览器上 ,当用户想用FIDO登录网站的时候,手机都可以用来做验证 。例如 ,苹果手机可以帮助验证Edge浏览器上的FIDO登录。

如果能做到这两点 ,密码就真的被干掉了。

当然,新事物的发展不会那么一帆风顺的 ,尤其是牵扯到各方利益的情况下  。

FIDO联盟2012年就成立了,2014年发布FIDO UAF和U2F协议,2019年FIDO2协议中的WebAuthn被W3C接受为互联网的标准。同年Microsoft Hello 通过FIDO2兼容认证。

直到今年,三巨头才宣布要加大对FIDO的支持,说一年后在各个平台上提供无密码功能。承诺能不能实现,我们只有拭目以待 。

也许有一天,你突然发现,你用指纹识别就可以登录网站了 ,到时候可以回过头来看看这篇文章 。 

最后留个小问题吧:如果保存私钥的设备(例如手机)丢失了,该怎么办 ?​

  • Tag:

相关文章

  • 前中情局工作人员因泄露机密文件被判 40 年监禁

    The Hacker News 网站消息,美国中央情报局CIA)一名前软件工程师 Joshua Adam Schulte 因向维基解密传送机密文件和儿童色情材料,被纽约南区法院SDNY)判处 40 年
    2025-12-07

  • 安卓手机公交卡怎么刷?

    12月19日,三星SAMSUNG Pay终于支持的公交卡功能,首批开通城市仅限北京上海,而此前小米Mi pay也率先支持手机刷公交地铁,而更早的是运营商层面推动的手机刷公交,包括中国移动/联通/电信在
    2025-12-07

  • 选择最佳骁龙CPU型号,追求卓越性能(骁龙CPU推荐指南)

    现今市场上存在众多型号的骁龙CPU,但不同的型号适用于不同的需求和使用场景。本文将为您介绍如何选择最佳骁龙CPU型号以追求卓越性能,帮助您在购买时做出明智的决策。1.骁龙888,旗舰之选骁龙888是高
    2025-12-07

  • Excel中插入和使用切片器进行筛选的方法教程

    excel表格是一款非常好用的办公软件,其中的功能非常丰富且强大,很多小伙伴都在使用。如果我们想要在Excel表格中插入切片器,方便筛选数据,小伙伴们知道具体该如何进行操作吗,其实操作方法是非常简单的
    2025-12-07

  • DDoS攻击引发云服务提供商索要10.4万美元账单

    Cybernews网站消息,Reddit某用户在遭受网络攻击后,Netlify向他的简单静态网站开具了一张10.4万美元的账单。最初收到这个账单,该用户还以为是在开玩笑,与Netlify公司客服沟通后
    2025-12-07

  • 小米max2和努比亚z17mini哪个好 努比亚z17mini和小米

    最近一个月国产手机又迎来一波新机发布潮,其中1500-2000元价位竞争尤其激烈。小米发布的Max2定价1699元起,而之前1699元的机型还有努比亚Z17mini和360 N5s,那么问题就来了,如
    2025-12-07

最新评论