苹果的“通行密钥”真能取代密码吗？

在科技巨头的共同推动下，密码不久将沦为旧时代的产物。 6 月 7 日，苹果于全球开发者大会（WWDC）正式发布 macOS 13，同时揭晓了全新功能「通行密钥」（Passkeys）。苹果表示，这项功能旨在取代传统密码，用户通过 Touch ID 或 Face ID 等生物解锁技术，即可跳过输入密码的步骤，直接登录网页和应用程式的服务。

苹果的“通行密钥”真能取代密码吗？
图片来源/苹果

苹果网络技术副总 Darin Adler 表示：「通行密钥使用了强大的加密技术，和设备内置的生物识别技术来保护帐号的安全。只要使用 Touch ID 或者 Face ID 进行身份验证，你就可以轻松创建一组通行密钥。用户创建一组通行密钥时，会产生一个独一无二的数字钥匙，且只能用于创建它的网站。”

密码的目前最普遍的帐号保护机制，同时也被资安专家视为最糟糕的方式。由于我们的脑袋不如想象中灵光，因此创建的密码强度总是太低，除了容易被破解，黑客还会使用网络钓鱼技巧，或者直接破解服务器上的所有密码来获取你的账号。也因为不少人习惯使用同一组密码，因此受害影响范围还可能扩大。

目前的 Safari 可提供创建高强度密码，以及记录登录信息的功能，但有了通行密钥之后，输入密码的步骤将被生物识别技术取代。

「我们设计的通行密钥可以在 app 中轻松使用，即使是网页也没问题。使用 iCloud 钥匙圈就可以将通行密钥在你的苹果设备上安全地同步，并且可以实时在 Mac、iPhone、iPad、Apple TV 上使用。」

依照 Adler 的说法，每个网站服务将会对应一组通行密钥，因此黑客无法利用伪装网站窃取密码; 也因为服务器没有储存任何的个人信息，因此通行密钥也不可能被泄漏。不仅如此，苹果正在与其他 FIDO 联盟合作，微软与谷歌也是成员之一。也就是说，通行密钥也可以在非苹果设备上使用。

从苹果工程师展示的画面来看，使用 Windows 电脑的 Chrome 或者 Edge 浏览器登录帐号，由于电脑本身不支持通行密钥功能，因此仍需要输入帐号，这时画面会跳出一道提示「Add a new phone」（加入新手机），点击后会显示一组 QR Code; 再经由 iPhone 相机扫描后，iOS 系统即可辨识出先前已设定的通行密钥，最后手机按下确认，即可顺利登入。（看来即使疫情过去了，QR Code 仍会想尽办法出现在我们的生活中。）

FIDO 是 Fast IDentity Online（在线快速认证）的缩写，该联盟成立于 2012 年，其宗旨是要解决身份验证技术间缺乏互通性（interoperability）的问题。今年 5 月，微软、谷歌、苹果三巨头宣布共同采用 FIDO 制定的技术标准，共同打造跨平台的无密码登录机制。目前来看，三巨头的合作只限于各家平台的浏览器，但足以冲击LastPass、1Password等密码管理器的业者。

尽管三巨头所描绘的无密码未来很美好，不过 FIDO 的技术标准仍然存在某些限制。比方说，当iPhone用户想换Android手机使用，原本储存在iOS上的通行密钥该如何转移，苹果并没有解释。光是用户从 Android 切换至 iOS（反之亦然）设备的繁琐步骤来看，要轻松转移敏感的帐号登录信息恐怕不是这么容易，也容易成为黑客入侵的破口。

如同《Fast Company》所述，相较于苹果的通行密钥，密码的有形特性让它们容易被转移，因此大多数的密码管理器可以将登录信息下载至.csv 表格中，再由用户手动上传至其他对手的服务。显然，密码并非一无是处，而像是LastPass、1Password这类的密码管理器仍有存在的必要，尤其他们没有所谓的「生态系包袱」，可以任意在不同平台切换使用。

眼看无密码的未来触手可及，密码管理器业者势必得在当中扮演新的角色。毕竟一旦密码被淘汰，这些密码管理器又该管理什么呢？日前，LastPass 、1Password纷纷宣布加入 FIDO 行列。 LastPass 推出身份验证器（Authenticator）解决密码管理器长期以来的矛盾——使用一组密码来管理多组密码。 1Password 则宣布采用 WebAuthn 身份验证标准，将容易遗失的实体私钥直接储存在管理器上。

从今年年底开始，采用 FIDO 标准的无密码技术将陆续问世，苹果的通行密钥预计今年秋季伴随 macOS Ventura 与 iOS 16 上线。如同Adler在离开舞台前所说，「摆脱密码并非一蹴可及」，因此密码仍可能陪伴我们一段时间。