总市值超5.39万亿美元的全球科技三巨头，罕见地放下成见、抱作一团，将枪口对准人类数字生活的虚拟守门人——密码。

在5月5日的世界密码日上，苹果、微软、谷歌共同承诺，未来一年将在它们控制的所有移动、桌面和浏览器平台上建立对无密码登录的支持，以打造更安全的个人信息与互联网环境。

这是一次不容小觑的联合行动。苹果占据高端智能手机市场的六成份额，谷歌开发的安卓系统覆盖了70%的全球用户，微软则是电脑操作系统领域无可撼动的霸主。

三巨头联手，“杀死”密码胜利在望？

罕见的统一战线

无密码比密码更安全，听起来多少有些反常识。但对很多人来说，无密码这一概念并不新鲜。

在PC端登录微信，就是一个简单直观的无密码场景：在PC端点开微信后，手机收到确认信息，然后通过手机认证完成登录。生活中常常用到的指纹解锁、扫脸支付等，也可以归为无密码技术范畴。

事实上，习惯了自动登录和手机验证登录的用户，恐怕已经没有多少人还记得自己的微信密码。在这种情况下，密码还有存在的必要吗？

在普通用户意识到这个问题之前，苹果、微软、谷歌已经为构建一个无密码的世界探索数年。

在不久前的苹果全球开发者大会（WWDC 2022）上，苹果公布了一项名为“Passkeys”的新技术。当用户需要使用某个网站或应用时，iPhone会收到请求，用户可以直接通过指纹或面容ID在iPhone上进行身份验证，从而直接登录。

图片来源：WWDC发布会

这个过程并不复杂，而且有两个好处：一是不需要记住密码，二是整个过程在一部iPhone上就可以完成。这意味着，用户的任何私密信息都不会被第三方的网络服务器储存和泄露，安全性大大提升。

正如苹果互联网技术副总裁Darin Adler所说，Passkeys不会被盗用，因为它永远不会离开你的设备。

在苹果之前，微软与谷歌也早已在无密码领域布局多年。

早在2017年，微软就尝试用Microsoft Authenticator让用户免密登录微软账户。2018年，微软将这一功能升级并应用在Edge浏览器和Windows 10系统上。据微软官方数据，截至2020年5月，每月有1.5亿用户在使用无密码登入。

2021年，微软宣布从当年9月15日起，用户可以完全删除他们的微软账户密码，并选择使用Microsoft Authenticator应用、Windows Hello、安全密钥等方式认证登录设备。

谷歌则在2019年宣布，在Android 7.0及以上版本中，可调用指纹或面部识别等登录某些支持的网站。

在“杀死”密码这件事上，三巨头罕见地达成了共识。iOS与Android、Windows与MacOS，这次不再为市场份额大打出手，而是要实现互联互通。

2013年、2015年和2020年，谷歌、微软、苹果先后加入FIDO联盟。FIDO（Fast Identity Online）联盟即线上快速身份验证联盟，是一家由PayPal、联想等企业于2012年7月成立的非盈利性行业协会，目前成员已扩大至300余家，其中包括ARM、苹果、三星、亚马逊、阿里巴巴、华为、Netflix等知名企业，以及各国政府的标准制定机构和学术团体。

它们共同的敌人，是曾在互联网历史上扮演重要角色，但也给人类带来巨大困扰和安全风险的密码。

天下苦密码久矣

从开机密码、邮箱密码到各类网站的登录密码，密码几乎渗透到了生活的每一个角落。记住各种复杂的密码，则成为人们不得不面对的一大挑战。牛津大学与万事达卡联合进行的一项研究发现，有三分之一在线购物中止，是因为用户忘记密码。

密码管理软件Nordpass给出的安全密码建议是，至少12位数，包含大小写字母、数字及特殊符号，并且每90天要至少更换一次。

达到以上密码安全建议，且不重复使用密码，对普通用户来说无疑是一种负担。

事实上，多数人对于密码安全不以为意。

据微软2016年数据，大约20％的互联网用户正在使用重复密码，另外27％的用户使用的密码与其他帐户密码几乎完全相同。到2018年，仍然有很大一部分互联网用户偏爱弱密码，而不是安全密码。

Nordpass公布的2021年最常用密码榜单显示，“123456”出现了超过1.03亿次，只需要不到一秒钟就能破解。据FIDO官网数据，80%的数据泄露是由密码造成，多达51%的密码被重复使用，而重置一次密码的平均人力成本是70美元。

图片来源：Nordpass网站

一面是多数密码形同虚设，另一面是密码本身的安全缺陷远比人们想象中更大。

据路透社报道，2020年6月，世界著名网络安全组织Awake Security发布的一份公开报告指出，谷歌公司旗下的浏览器Chrome存在严重漏洞，使上千万用户的个人资料遭黑客窃取。经统计，恶意的后台程序至少被下载了3200万次，这意味着3200万用户的密码很有可能已被黑客窃取。

2014年9月，苹果的iCloud遭到黑客攻击，导致密码泄露，大约200位名人明星的私密照片在互联网上传播。

2018年，由于苹果在线商城和手机保险公司Asurion网站存在的漏洞，造成约7200万 T-Mobile运营商用户的密码泄露。

日益严峻的密码安全问题不仅给个人和企业带来风险，甚至可能威胁国家安全。

据中国网络安全审查技术与认证中心发布的信息，来自AntiSec组织的攻击者曾向美国政府军方承包商 Booz Allen Hamilton 进行攻击，并发布9万个美国军方电子邮件地址和密码，包括美国中央司令部、特种作战司令部、海军陆战队、空军部队以及国土安全局的账户密码。

天下苦密码久矣。面对层出不穷的密码安全事故与隐患，苹果、微软、谷歌亟需将更安全、更高效的无密码技术推向前台。

2022年，FIDO联盟的技术革新加速了这一进程。

在5月5日的世界密码日上，三巨头联合宣布扩展对免密码登录通用标准的支持， 预计在未来一年内解决跨平台认证的痛点。

与以往不同的点在于，此次FIDO在跨平台运行上取得了两个新的突破。一是允许用户在多台设备、包括新设备上自动访问FIDO登录证书，而不必重新注册每个账户；二是允许用户在移动设备上使用FIDO认证，以通过附近的设备登录App和网站，无论这些设备运行哪种操作系统平台或使用哪种浏览器。

一个月后，苹果率先在WWDC交出了第一份答卷。Passkeys不仅支持苹果全家桶中的iPhone、iPad、Mac、Apple TV间跨设备认证，同时用户也可以用iPhone解锁FIDO联盟中的其他非苹果产品。

但“杀死”密码，没那么容易。

“杀死”密码不容易

上世纪40年代，为破译德军密码，英国研制出了大型电子运算装置科罗萨斯（Colossus），这是人类历史上第一台可编程的计算机。计算机因破解密码而生，并随后孕育了互联网。

80年后，互联网诞下的科技巨子们却要“杀死”密码，打造一个更方便、更安全的无密码世界。这是一个无比艰巨的任务。

比计算机还要年长的密码，早已渗透到生活中的各个角落。“杀死”密码，不止是技术升级，也是改变一种生活习惯，而这并不容易。正如FIDO联盟的执行董事、CMO Andrew Shikiar所说：“几乎所有用户要做的第一件事就是设置密码，我们需要做的是打破这种习惯。”

2020年，Windows 10的活跃用户数量首次突破10亿。而当年5月微软公布的每月无密码登入使用人数是1.5亿，只有约15%。此时，距离微软在Windows 10上推广无密码登录已经过去近两年。

除了用户习惯难以在短时间内被改变外，横亘在三巨头面前的另一座高墙是：若要实现无密码登录，首先要拥有一部智能手机。

据Strategy Analytics统计，截至2021年，全球有39.5亿人用上了智能手机，普及率约为50%。此外，并非所有智能手机都能运行无密码技术。苹果即将推出的Passkeys需要更新iOS 16版本才能使用，而iPhone SE 2016、iPhone 7之前的老款手机均无法获取iOS 16的更新。

这意味着，如果在全球范围内推广无密码登录，现时将会有至少一半的人无法使用。

此外，虽然FIDO联盟在跨平台应用上取得了进展，但跨平台的密钥转移依旧是一大痛点。简单来说，虽然苹果手机可以在FIDO框架下解锁非苹果产品，但当用户更换成安卓手机后，保存在终端上的密钥也需要批量转移。

专注于报道苹果新闻的外媒9to5Mac表示，FIDO目前提供的解决方案，还无法在不同生态系统之间批量传输密钥。如果想从Android手机切换到iPhone（反之亦然），用户将无法移动所有密钥。相比之下，密码则更容易转移。

正如苹果互联网技术副总裁Darin在WWDC上描述的一样，脱离密码的转型是一场旅程。在这场旅行中，不仅需要苹果、谷歌、微软，也需要全球的企业和用户共同参与其中。

2022年历史的车轮格外喧嚣，iPod、IE浏览器、中国区Kindle先后被无情碾过。如今，密码也看到了远处扬起的沙尘。只是这次，科技巨头“三英战吕布”，密码还远未见到白门楼。