前不久在美国举行的全球开发者大会(WWDC)上,苹果公司宣布将于今年 9 月份开始,在 Mac、iPhone、iPad 和 Apple TV 上推出无密码登录。在 iOS 16 和 MacOS Ventura 上,人们将不再使用密码,而是使用 Passkey 登录网站和应用。
苹果公司的互联网技术副总裁达里恩·阿德勒(Darin Adler)解释说:
Passkey 通过使用 Touch ID(指纹)或 Face ID(扫脸)创建新的数字密钥来取代密码。当用户再次登录网站时,Passkey 允许其通过使用生物识别信息(Touch ID 或 Face ID )进行验证,而不必输入密码。
对于苹果公司而言,这是为消除密码而进行的第一次重大转变。
那么,为何“无密码登录”如此重要呢?
无论是过去的 PC 互联网时代还是现在的移动互联网时代,我们都已经习惯了“账号+密码”的登录形式。随着互联网应用越来越繁荣,我们所创建的账户密码也越来越多。
尽管目前市场上已经有了像 1Password 这样的优秀密码管理软件,但使用的人数毕竟占少数,大部分人还是习惯自己保存密码。所以,我们经常会陷入忘记密码的窘境。Yubico 的一项研究显示,用户每年花 10.9 个小时在输入和/或重置密码上,而公司每年要为此付出平均 520 万美元的代价。
另一个现实情况是,一部分人因为懒惰或是草率,使用过于简单的密码,或是不同的互联网应用使用同一个密码。
注:2021 年最常见的 200 个密码列表,来源:https://nordpass.com/most-common-passwords-list/
过于简单的密码让黑客有机可乘,不同的互联网应用使用同一个密码也让其中一个应用遭到密码泄漏后,殃及其他应用。
此外,即便是很多行业巨头,也会发生大规模的用户数据泄露事故:
- 2013 年,Adobe 超过 1.5 亿的用户密码被泄露,黑客还暴露了用户名称、ID、密码以及借记卡和信用卡信息。
- 2014 年,eBay 发生大规模用户数据泄露事故,约 1.45 亿用户数据遭泄露,这些数据包括用户名、电子邮件地址、家庭地址、电话号码和生日等隐私信息。
- 2014 年,雅虎被攻击者窃取了 5 亿用户的真实姓名、电子邮件地址、出生日期和电话号码。
- 2016 年,AdultFriendFinder 所属公司被黑客入侵,泄露 4.12 亿用户数据,导致几乎所有的账户密码都泄露了,甚至连已经删除的账户也被黑客翻了出来。
- 2019 年,Facebook 超 5 亿用户的个人数据遭到泄露,包括电话号码、电子邮件等信息。
2009 年,FIDO(Fast Identity Online)联盟的一些早期创始人 PayPal 与 Validity Sensors 在一次会议上首次讨论了使用生物识别技术代替密码来验证用户身份的想法。这次会议激发了一个想法,即使用公开密钥加密和本地身份验证方法创建一个行业标准,以实现无密码登录。这一想法在 2012 年催生了 FIDO 联盟。FIDO 联盟是一个开放的行业协会,专注于制定“有助于减少全世界对密码的过度依赖”的认证标准。2019 年, FIDO 联盟与 W3C(World Wide Web Consortium)联合宣布 WebAuthn 技术标准成为正式 Web 标准。WebAuthn 是一个无密码登录的协议,从用户的角度看,只需要以下几步:来源:https://www.hanko.io/blog/on-passkeys简单来说,WebAuthn 采用了非对称加密技术,通过生物识别(比如 Touch ID、Face ID 等)为你生成了一段加密信息,也就是私钥。这个私钥存储在你的硬件设备(电脑、手机、平板电脑、智能手表、安全密钥等)中。你实际上永远不会看到这个私钥,其他人(包括黑客、应用本身)也无法看到。私钥对应的公钥,则存储在应用的服务器中。当你再次登录时,先通过生物识别验证是“你”在操作,验证通过后,私钥被用来生成一个签名(你也不会看到,因为它发生在幕后),这个签名向服务器证明它是用这个独特的私钥创建的。验证完成后进行登录,全程不需要密码,也不会冒泄露密钥本身的风险。所以,WebAuthn 将生物识别技术和密码学进行了完美的融合。今年 3 月, FIDO 联盟发布白皮书,介绍了一种方法来存储不同设备之间同步登录的加密密钥,称之为“多设备 FIDO 证书”或“Passkey”。因此,Passkey 也可以被简单地理解为,一项可以让你在不同的设备之间使用 WebAuthn 登录同一账户的技术。举个例子,当今年晚些时候苹果实现了对 Passkey 的支持后,你在 iPhone 上使用了邮箱和 Touch ID 注册了某个网站的账户(不需要设置密码),然后,你就可以在 Mac 电脑或者 iPad 上通过邮箱和 Touch ID 直接登录这个网站,因为你的设备同步了 Passkey。这和苹果公司的 iCloud Keychain 很相似,只不过 Passkey 在验证了 Touch ID 后无需填入密码,而后者验证后需要自动填写密码。简而言之,Passkey 是密码的一个替代品,不仅登录的速度更快,更容易使用,还更加安全。Nervos CKB:可能是目前唯一支持 Passkey 的公链
互联网之所以能发展到现在的规模,兼顾安全和便利,都与大量使用密码学分不开。比如,浏览器里几乎都有的算法 SubtleCrypto,甚至在小程序环境下都能使用;而 2019 年成为 W3C 推荐标准的 WebAuthn 算法,以及现在的 Passkey,更是让浏览器的密码学强大到堪比硬件钱包,而使用上又非常便利(可以通过指纹、扫脸等方式解锁)。如果区块链能直接使用这些互联网的密码学基础设施,而不是要求用户去下载钱包插件、App,自己走流程保管助记词,dApp 的用户门槛就可以大幅度降低。然而,主流区块链的密码学一般都是底层写死的,比如:这些区块链的签名算法,与主流互联网用的密码学体系不兼容,没法直接使用,只能依靠重新铺设的设施。Nervos CKB 公链的不同之处,就在于大家可以使用自定义的密码学,并没有在底层将密码学写死。这就意味着,你在 Nervos 上开发应用,可以使用主流互联网用的密码学体系,甚至直接调用现有的互联网基础设施,包括这篇文章介绍的 Passkey。具体来讲,Nervos CKB 的虚拟机能够直接在应用层(智能合约里)部署密码学,这样我们就可以把上面提到的非对称加密算法 RSA、SHA-256 等等都部署上去。这就给使用现有的基础设施打下了基础。所以,我们可以很自豪地说,Nervos CKB 可能是目前市面上唯一能使用 Passkey 这项基础设施的底层公链。我们不妨畅想一下,现在已经是几个月之后,苹果的各项设备已经完美地支持 Passkey 了。那么,Passkey 能给 Nervos 带来什么呢?字节君的答案是:更低的用户门槛,更友好的用户体验,以及更多的互联网用户。Passkey 是一项基础设施,它的强大威力需要开发者来实现。下面,我们以加密货币钱包为例,来解释这项技术如何降低用户门槛,带来更友好的用户体验,以及吸引更多的互联网用户进入 Nervos 生态。目前市面上非托管的加密货币钱包,依旧离不开助记词、公私钥。对于一个习惯了通过指纹或是扫脸登录的互联网用户而言,要自己去保存 12 个单词或是 24 个单词的助记词,要保证单词的顺序不弄错,而且还不能截屏,不能复制后通过网络传输,是相当麻烦的事情。此外,助记词还容易因为保存不当遭到泄漏,导致账户里的加密资产被盗,或是因为遗忘助记词而导致账户里的资产永远无法转出。有了 Passkey,私钥(以及助记词)可以进行隐藏,不需要暴露给用户。用户下载钱包软件后,直接通过指纹或扫脸注册和创建加密货币钱包,发起转账或是和智能合约进行交互时,也只需要指纹或是扫脸进行授权,非常方便,而且还很安全。如果不小心丢失了设备,或是换了新设备,在新设备上登录同一 iCloud 账户,下载钱包软件,然后就可以通过指纹或扫脸直接恢复钱包。丢失的设备,即便被黑客获取了,也无法被破解或是导出私钥。这样的加密货币钱包,门槛更低,体验更好,所有的操作都是互联网用户所熟悉的。钱包是用户进入区块链的门户,有了这样便捷又安全的钱包,加密货币、DeFi、GameFi、NFT 等新事物才更容易出圈,触达数十亿互联网用户。当然,Passkey 带给 Nervos 和区块链的想象空间不仅仅局限于此。如果你是一名开发者,如果你也致力于让区块链应用触达每一个互联网用户,欢迎加入Nervos Build Club,一起创造更多的可能性:参考资料
1、https://www.sohu.com/a/459067573_114877
2、https://www.51cto.com/article/711116.html
3、https://zhuanlan.zhihu.com/p/515084831
4、https://www.w3.org/2019/03/pressrelease-webauthn-rec.html.zh-hans
5、Nervos 最重要的两个技术优势
Nervos 网址:https://www.nervos.org/
中文电报群:https://t.me/NervosNetworkcn
中文推特:https://twitter.com/CKBMeta
中文Discord:https://discord.gg/f2qa52tJnz
《Nervos 入门手册》:ckborg.bit.host