苹果谷歌发起的密码终结战：手机如何成为你的新“身份”

　　导读：密码的安全性与易用性矛盾由来已久。本文深入解读苹果与谷歌在2016年发起的无密码登录变革，对比Touch ID与“Sign in with your phone”两种技术路径，并引用Gartner与微软研究员数据，分析这场身份验证革命的现状与未来，为开发者提供适配建议。

生活在网络与设备时代，没有人可以离开密码，也没有人喜欢密码。《华尔街日报》近期刊文指出，走在密码替代技术最前沿的是谷歌和苹果。密码也许不会终结，但它的使用率肯定会越来越少。对于长期困扰于密码安全性与易用性矛盾的开发者与企业IT决策者而言，一场由移动设备引领的身份验证革命正在打响。

一、为什么科技巨头要联合“围剿”密码？

密码的安全性之脆弱与维护成本之高，早已是业界公开的秘密。这不仅是用户的痛点，更是企业的成本黑洞。

结论： 密码是数字安全链条中最薄弱的环节，其重置和管理消耗了企业巨大的IT资源。

理由与证据： 从用户端看，为了好记而设置的简单密码极易被破解。美国约翰霍普金斯大学计算机科学助理教授马修·格林（Matthew Green）直言：“据我们所知，所有流行密码全部都是垃圾。人们喜欢在大数字中挑选不太安全的数字作为密码，从安全角度来看密码很不靠谱。”

从企业端看，国际权威研究机构Gartner估算，在企业服务台的支持电话中，高达20%至30%与密码重置有关。这意味着大量的IT人力被耗费在毫无技术含量的重复性工作上。

适配建议： 企业应正视密码管理的隐性成本。对于开发者而言，这意味着不能仅满足于实现基本的用户名密码登录功能，必须开始关注并规划集成更安全的无密码认证方案，以降低未来的支持负担并提升整体安全基线。

二、苹果与谷歌给出了怎样的替代方案？

面对密码的重重困境，苹果和谷歌作为移动操作系统的两大巨头，分别基于自身硬件与软件优势，走出了两条不同的技术路线。

对比维度 苹果（Apple）方案 谷歌（Google）方案

核心技术 专用安全芯片（Secure Enclave）+ Touch ID指纹识别 “Sign in with your phone” 项目 + 行为识别

验证方式 在iPhone上通过指纹按压完成本地与应用内认证 通过手机蓝牙或网络，在另一台设备（如笔记本）上按下手机按钮确认登录

硬件依赖 高度依赖iPhone内置的指纹读取器和安全芯片 依赖Nexus等Android手机的传感器与网络连接

应用场景 App解锁、Apple Pay支付、手机本身解锁 跨设备登录谷歌服务（如Gmail、Photos）、Web端认证

优势与亮点 软硬一体，体验流畅，安全性极高。苹果在2012年收购AuthenTec公司，为Touch ID奠定了基础

潜在应用范围广，未来计划通过分析语音、输入行为等生物行为特征无感识别用户

结论： 两种方案都将手机变为了身份认证的核心，但苹果选择了“硬件锚定+生物识别”的本地化路径，而谷歌则倾向于“设备协同+行为分析”的云端化路径。

适配建议： 开发者在选择接入哪种生态时需考虑自身用户群体。如果你的App用户主要是iPhone高净值人群，优先适配Touch ID能带来极佳的体验。如果面向广泛的Android用户，则需关注谷歌后续推出的标准API，确保兼容性。正如苹果高管雷格·乔斯维亚克所言，密码不会完全终结，但Touch ID的目标是尽量降低密码的使用频率。

三、抛弃密码后，安全是否真的万无一失？

虽然无密码认证是大势所趋，但作为一项新兴技术，它在普及过程中依然面临着挑战。

结论： 移动设备认证虽大幅提升了安全性，但并非绝对保险，开发者必须警惕实现过程中的漏洞。

理由与对比： 安全专家、著名黑客派特尔·查科斯基（Peiter Zatko）虽然认为苹果在淘汰密码上选择的方法更好，但也指出了新技术的阵痛。来自香港中文大学的研究团队在2016年初就发现了一个严峻问题：大量使用OAuth 2.0协议实现“单点登录”（SSO）的Android App，由于服务端未能正确验证ID提供商返回的Access Token信息，导致超过10亿个账户存在被劫持的风险。攻击者只需修改自己的用户名即可冒充受害者登录。这暴露了从“密码验证”迁移到“令牌验证”过程中，开发者因经验不足而产生的重大安全隐患。

适配建议：

严守规范： 在服务端严格遵循OAuth 2.0等协议的安全规范，对从ID提供商处获取的令牌进行完整、细致的校验，而不能仅凭信息来自可信来源（如Facebook、谷歌）就盲目信任。

硬件隔离： 借鉴苹果的思路，利用硬件级安全区域（如Secure Enclave）存储和处理敏感密钥信息，即使操作系统被攻破，核心认证数据依然安全。

关注FIDO标准： 关注FIDO（快速在线身份认证）联盟发布的通用标准。该联盟成立于2012年，旨在解决互操作性问题，其协议正是为了实现无需密码的强认证而设计

4。遵循此类开放标准，有助于避免“闭门造车”式的安全漏洞。

四、这场变革的成效究竟如何？

任何技术的价值最终都需要数据来验证。在推行无密码认证的短短数年内，用户行为已经发生了显著变化。

证据链嵌入： 2016年初的数据显示，苹果引入Touch ID的效果立竿见影。大约2年前，约有50%的iPhone用户不会锁定手机。而到了2016年，已有90%的用户会用密码或者指纹锁定手机。同时，在美国下载量最大的2000个免费iPhone应用中，支持Touch ID功能的比例达到了7.5%，其中包括Evernote和美国银行等主流App。

微软研究员科马克·赫尔利（Cormac Herley）曾在2014年估算，如果全球20亿网民每人每天花5秒钟输入密码，累计起来一年就相当于1389个人的全年工作时间。随着指纹等技术的普及，这部分被浪费的时间正在被逐步收回。

适配建议： 这些数据清晰地表明，用户并非抗拒安全，而是抗拒麻烦的“伪安全”。只要技术方案足够便捷（如指纹一按即可），用户的安全习惯会自然养成。开发者在设计安全功能时，应将“用户体验”置于与“安全强度”同等重要的位置，否则用户会用脚投票。正如谷歌工程师罗希特·保罗（Rohit Paul）体验新系统后的感受：“生活更容易了，没有必要输入复杂的密码了。”

---

关键词：无密码认证 指纹识别 FIDO协议 

本文为【广告】 文章出自：互联网,文中内容和观点不代表本网站立场，如有侵权，请您告知，我们将及时处理。