多年来,网络安全专家一直预测,随着从面部识别到多因素身份验证等更先进的登录功能的普及,在线密码将会消亡。但苹果公司似乎已经意识到密码不会很快消失。在本周早些时候举行的 WWDC 2024 大会上,苹果公司推出了新的密码应用程序,这是又一个帮助保护在线账户和管理多重登录的解决方案。但这并不能改变这样一个事实,即把所有登录信息放在一个地方仍然存在风险。Forrester 公司副总裁、首席分析师 Andras Cser 说:"密码真的很难摆脱。
新的密码应用程序适用于 iPhone、iPad、Vision Pro、Mac 和 Windows,用户可以存储所有密码,包括验证码、应用程序密码、Wi-Fi 密码、Passkeys 等。该产品与市场上的其他密码管理器类似,包括 1Password 和 LastPass。eMarketer 高级分析师加乔-塞维利亚(Gadjo Sevilla)说,你不能低估拥有这样一个默认解决方案和内置密码安全功能的威力。这很方便。它就在那里。它是免费的。
但这并不能改变用户依赖密码作为默认在线安全方法的基本担忧。
就是这样:Cser说,不再需要任何密码管理器,只需使用基于推送通知的身份验证、生物识别技术或通行钥匙的一次性密码即可。远离密码也许才是正确的信息,而不是使用免费或升级的密码管理器。密码黑客正呈上升趋势,据 IBM 报告,与 2022 年相比,2023 年使用有效密码的攻击数量增加了 71%。苹果、谷歌和微软已经采取行动,将更多用户迁移到通行证上,这需要用户拥有的另一个设备通过面部扫描、指纹或其他代码来验证登录。这有助于消除最大的网络安全风险:人们往往不注意密码卫生,包括在不同账户中使用相同的密码,这意味着如果密码被盗,黑客就可以访问所有账户。
苹果公司的密钥系统 Keychain 只适用于 iOS 操作系统下的产品。这款新的密码应用包含更多的系统兼容性,包括 Windows 和不同类型的登录验证。该公司没有说它将包括任何谷歌或安卓密码,而这些密码包含了很多账户。
密码管理器(如苹果密码应用程序)可将不同的密码、密码和登录信息安全地记录在一个安全账户下。它们确实提供了一层额外的保护:Security.org 的研究发现,没有密码管理器的人成为身份盗窃受害者的可能性要高出三倍。但无论是免费还是付费版本的密码管理器,都不能完全消除风险。它们只是一种创可贴或包装,Cser 说。密码非常容易受到攻击,而且在保护任何应用程序或资源和数据方面已经失去了作用。因此,无论你选择谁的工具,都会把所有鸡蛋放在一个篮子里,对吗?
截至记者发稿时,苹果公司没有回应置评请求。
有人担心,如果苹果公司掌握着每个人密码的所有数字钥匙,那么一旦公司遭到黑客攻击,人们就会变得更加脆弱。这并非没有可能:早在 2014 年,苹果公司的 iCloud 就曾遭到黑客攻击,导致许多名人的私人照片泄露。LastPass 在 2022 年遭到黑客攻击,不过客户数据并未被盗。塞维利亚说,唯一的安全问题是,任何获得你的 Apple ID 和密码的人都可以访问你的 iCloud Keychain 或密码应用程序,因为这才是安全访问这些存储密码所需的关键身份验证。
尽管如此,保护大量个人数据对苹果公司来说并不是什么新鲜事,在围绕隐私打造品牌方面,苹果公司已经有了相对良好的记录。此外,苹果还采取强硬立场,反对与未经授权的第三方应用程序共享信息。从 iOS 14.5 开始,苹果要求用户选择数据共享并阻止跟踪应用程序,这对依赖这些信息进行广告定位的数字广告公司(如 Facebook)不利。
塞维利亚说,苹果是一家服务公司。他们拥有数十亿的信用卡号码。你不能低估他们为确保锁定这些数据所付出的努力,而这些数据都与 Apple ID 和 Apple 密码绑定在一起。所以我想,如果按照这个例子,它们可能会被视为比独立应用程序安全得多。在 WWDC 上,苹果与 OpenAI 的合作引发了更广泛的数据共享问题。包括埃隆-马斯克(Elon Musk)在内的一些人担心,允许 OpenAI 访问苹果用户数据可能会违反安全规定。OpenAI 使用用户数据和行为来训练其人工智能模型。
网络安全专家表示,由于用户与苹果共享密码,而苹果又与 OpenAI 共享数据,因此这种可能性极低,但至少在理论上存在 OpenAI 利用登录查看个人数据以达到学习目的的风险。
苹果公司在 WWDC 24 上重申了其对数据隐私的承诺。苹果智能公司(Apple Intelligence)是苹果公司进军人工智能领域的重要举措,它将在特殊服务器上利用苹果硅技术(Apple Silicon)建立基于云的模型,以确保用户数据的私密性和安全性。如果需要向云服务器发送请求,苹果表示只会以加密安全的方式发送有限的部分数据。
苹果公司机器学习和人工智能战略高级副总裁约翰-吉安南德雷亚(John Giannandrea)在会上说,我们不会把这些数据发送到某个云端。因为我们希望一切都非常私密,无论是在本地运行还是在云计算服务上运行,这就是我们希望的方式,这样我们才能使用你最私密的数据。