弱密碼問題是網絡安全的頑疾,根據Verizon的《數據違規調查報告》81%與黑客相關的違規行為都利用了被盜密碼或弱密碼。雖然密碼管理器有助於提高密碼強度,但是由於網站、APP等在線服務的密碼規範不統一,例如對密碼字符格式、數量/長度的要求不同,導致很多密碼管理器生成的強密碼與某些在線服務不兼容,進一步影響了用户使用強密碼的熱情。蘋果公司為密碼管理器開發者提供標準的、開源的開發資源和工具,有望極大推動密碼管理器市場的發展以及強密碼的應用普及度。
近日,蘋果公司發佈了一組面向密碼管理器開發者(包括整個APP開發生態)的免費資源和工具。這些工具資源統稱Password Manager Resources,目前已經在Github上開源。
蘋果表示發佈這些資源和工具是為了幫助解決長久以來困擾密碼管理器產品(以及廣大用户,不限於MacOS或者iOS用户)的一個難題:密碼管理器生成的強密碼很多時候無法與網站密碼規則匹配。(編者按:例如NIST密碼新規則要求網站支持64 字符數的長密碼,而很多網站僅支持不到20個字符的短密碼,而且長度限制各不相同(下圖),此外,對特殊字符如表情符號的支持也不普及)
蘋果的密碼工具將向密碼管理器應用提供當今流行網站的密碼規則,以便讓密碼管理器在網站密碼規則範圍內生成儘可能強壯的密碼,提高兼容性的同時也大大改善了強密碼的用户體驗。
蘋果同時還發布了登錄憑證通用的網站列表,蘋果表示希望這能讓密碼填充建議更好用。
最後,蘋果發佈了一個網站密碼修改頁面的URL列表,方便密碼管理器在檢測到弱密碼後向用户提供頁面跳轉,而不是讓用户自己去找這個頁面。