蘋果引進通行密鑰無碼登入 料下月升級OS 指紋人臉掃描認證
原文刊於信報財經新聞「StartupBeat創科鬥室」
登入不同賬戶或服務時,很多用戶都會貪方便只使用同一組密碼,若不幸被駭,牽連甚廣。作為美國FIDO(Fast IDentity Online)聯盟一員,蘋果公司(Apple Inc.)、谷歌(Google)及微軟(Microsoft)三大科企巨頭將加強合作,讓用戶以密鑰取代繁複的密碼,方便跨設備登錄網站及應用程式,減低個人資料外洩風險。
另設公鑰防網絡釣魚
隨着新一代iPhone即將面世,蘋果亦很大機會在下月升級作業系統,包括iOS 16、iPadOS 16及macOS Ventura,當中主打功能「通行密鑰」(Passkeys),會把用戶密碼轉為數碼私鑰,經「端到端」加密並保留在設備內,據稱即使是蘋果也無法查看訊息。除了私鑰,系統還有一個公鑰儲存在網絡伺服器,有效抵禦網絡釣魚攻擊。
日後用戶登入網上服務時,iPhone、iPad及Mac機儲存的通行密鑰就會配合生物識別技術,例如Touch ID指紋、人臉識別等確認身份,毋須輸入任何密碼。
非蘋果設備方面,例如Android及Windows裝置,在到訪支援「通行密鑰」的網站時,平台會生成一個二維碼(QR Code),這時以iPhone鏡頭掃碼,即可自動登入網上服務。
用戶可通過AirDrop跟第三方共享密鑰,手機一旦遺失或被盜,只要通過iCloud鑰匙圈,配合SMS短訊認證,即可恢復「通行密鑰」紀錄。為免有人不斷撞密碼,在第十次嘗試失敗後,用戶託管紀錄即被銷毀。蘋果向科技媒體9to5Mac透露,現時有95%的iCloud用戶已啟用雙重認證(2FA),防止未經授權的訪問,為推出「通行密鑰」做準備。
失手機可藉iCloud恢復
蘋果網站指出,平台供應商已在FIDO聯盟內合作,當開發人員對接「應用程式介面」(API),再更新應用程式及網站後,便可支援「通行密鑰」新標準,讓用戶簡單安全地登入服務。現時部分電商網站,包括eBay、Best Buy、PayPal,以至微軟、輝達(Nvidia)等大型科企,已開始支援「通行密鑰」。
微軟早於去年9月容許旗下所有用戶,毋須再以密碼方式登錄,改為以Microsoft Authenticator應用程式、Windows Hello(指紋或臉部辨識登入)、安全密鑰、手機短訊(SMS)或電郵驗證碼使用服務。此外,谷歌今年6月亦更新網頁瀏覽器Chrome與Android的密碼管理工具,以便主動於Google Password Manager輸入密碼。
利用密碼管理器統一儲存登入資料雖然方便,但並非全無風險。擁有3300多萬用戶的網上密碼管理公司LastPass上周四承認,公司發現開發環境出現異常,黑客取得部分原始碼及LastPass相關技術資料,但強調產品和服務正常運行,未有用戶資料外洩。