您的位置: 首頁 >互聯(lián)網(wǎng) >

專家們對(duì)蘋果的私人登錄功能提出了自己的看法

2022-07-24 22:42:41 編輯:卓安峰 來源:
導(dǎo)讀 蘋果公司(Apple) 2019年全球開發(fā)者大會(huì)(WWDC)上到處都是公告,但其中很少有像“與蘋果公司一起簽到”(Sign in with Apple)推出時(shí)那...

蘋果公司(Apple) 2019年全球開發(fā)者大會(huì)(WWDC)上到處都是公告,但其中很少有像“與蘋果公司一起簽到”(Sign in with Apple)推出時(shí)那樣得到觀眾的歡呼。

該功能允許用戶使用Apple id注冊(cè)網(wǎng)站和網(wǎng)絡(luò)服務(wù),被吹捧為一種面向隱私的替代方式,可以替代Facebook登錄和谷歌登錄。蘋果軟件工程高級(jí)副總裁克雷格費(fèi)德里吉(Craig Federighi)在周一的主題演講中說,“我們都見過這樣的按鈕,要求我們使用社交賬戶登錄來獲得更個(gè)性化的應(yīng)用體驗(yàn),這些登錄可以用來追蹤你?!薄拔覀兿虢鉀Q這個(gè)問題,很多開發(fā)人員也想解決這個(gè)問題,所以現(xiàn)在我們有了解決方案。”

費(fèi)德里吉表示,這個(gè)解決方案是與蘋果公司簽約,他說這將限制使用蘋果iOS和macOS設(shè)備的用戶可以獲得的私人信息的數(shù)量。雖然網(wǎng)站和應(yīng)用程序仍然可以請(qǐng)求你的電子郵件地址,但與蘋果公司簽約后,你可以選擇隱藏它。更妙的是:如果你決定不分享這些信息,蘋果將生成一個(gè)獨(dú)一無二的隨機(jī)電子郵件地址,可以將這些服務(wù)的信息直接轉(zhuǎn)發(fā)到你的主收件箱。這將使網(wǎng)站和應(yīng)用程序不知道你的真實(shí)電子郵件地址,蘋果公司表示,它不會(huì)使用登錄工具來跟蹤你的任何互聯(lián)網(wǎng)活動(dòng)——該公司表示,谷歌和Facebook可以用他們的登錄按鈕做到這一點(diǎn)。

由于谷歌最近在歐洲因違反數(shù)據(jù)透明度而被罰款,而Facebook因可疑的數(shù)據(jù)共享行為即將被聯(lián)邦貿(mào)易委員會(huì)罰款數(shù)十億美元,在保護(hù)用戶數(shù)據(jù)方面,他們的名聲并不好。也就是說,蘋果公司本身并沒有隱私爭議。

今年2月,《華爾街日?qǐng)?bào)》(The Wall Street Journal)報(bào)道稱,多個(gè)iOS應(yīng)用程序在未經(jīng)用戶同意的情況下與Facebook共享數(shù)據(jù)。上個(gè)月,《紐約時(shí)報(bào)》發(fā)表了另一篇報(bào)道,稱一些開發(fā)者利用兒童應(yīng)用收集、追蹤和分享兒童信息,包括姓名和年齡。類似的事件導(dǎo)致蘋果限制了兒童應(yīng)用程序的追蹤和廣告,這是蘋果在2019年全球開發(fā)者大會(huì)(WWDC)上發(fā)布的一項(xiàng)隱私措施,同時(shí)發(fā)布了新的登錄功能。

但蘋果真的能比谷歌和Facebook更好地處理隱私問題嗎?為了找到答案,我們采訪了安全和隱私專家,討論了與蘋果公司簽約的問題,他們中的大多數(shù)人認(rèn)為,這項(xiàng)功能可能會(huì)改變保護(hù)消費(fèi)者隱私的游戲規(guī)則。一些人還認(rèn)為,它對(duì)谷歌和Facebook的底線構(gòu)成了真正的威脅,后者當(dāng)然嚴(yán)重依賴定向廣告和用戶可以通過自己的登錄工具訪問的個(gè)人數(shù)據(jù)。

ProPrivacy.com的數(shù)據(jù)隱私專家雷·沃爾什說:“對(duì)消費(fèi)者來說,不用真實(shí)的電子郵件地址就能登錄的概念是朝著正確方向邁出的一步。不需要共享真實(shí)的電子郵件地址就可以登錄,這就從這些服務(wù)中刪除了一個(gè)至關(guān)重要的數(shù)據(jù)。然而,當(dāng)用戶訪問web服務(wù)站點(diǎn)時(shí),web服務(wù)仍然可以從用戶那里收集其他重要數(shù)據(jù)——這些數(shù)據(jù)仍然可以用來跟蹤他們。當(dāng)你訪問一個(gè)網(wǎng)站時(shí),該服務(wù)自動(dòng)接收你的IP地址;這是一個(gè)非常有價(jià)值的跟蹤工具。因此,與蘋果公司簽約只是從等式中移除一小塊可追蹤的數(shù)據(jù)?!?/p>

AvePoint首席風(fēng)險(xiǎn)、隱私和信息安全官達(dá)娜?西姆伯克夫(Dana Simberkoff):“(與蘋果簽約)是蘋果利用其長期以來對(duì)隱私保護(hù)的承諾進(jìn)入新市場(chǎng)的又一次機(jī)會(huì),并從那些缺乏隱私前瞻性的競(jìng)爭對(duì)手那里奪走一些市場(chǎng)份額。如果做得對(duì),這不僅是蘋果的勝利,也是消費(fèi)者的勝利,消費(fèi)者可能會(huì)利用一個(gè)更以隱私為中心的登錄選項(xiàng)。蘋果首席執(zhí)行官蒂姆·庫克經(jīng)常談到公司反對(duì)收集個(gè)人數(shù)據(jù)的立場(chǎng)。尤其值得一提的是,庫克特別指出了消費(fèi)者資料的收集是為了定位廣告——這也是谷歌和Facebook賺錢的核心。”

阿拉巴馬大學(xué)(University of Alabama)管理信息系統(tǒng)副主任兼助理教授馬修·赫德納爾(Matthew Hudnall)博士說:“‘與蘋果公司簽約是一個(gè)非常必要的功能,它很好地適應(yīng)了(蘋果公司)不斷發(fā)展的以用戶為中心的生態(tài)系統(tǒng)。[它]代表了從傳統(tǒng)密鑰鏈范式向硬件驗(yàn)證生物特征與動(dòng)態(tài)憑證生成、存儲(chǔ)和驗(yàn)證相結(jié)合的范式的第一次轉(zhuǎn)變,從而消除了對(duì)傳統(tǒng)密碼的需要。雖然蘋果肯定不是唯一一個(gè)試圖消除密碼的公司,但他們肯定是在以一種我們已經(jīng)預(yù)料到的方式來這么做:要么全部清除,要么什么都不清除?!?/p>

密歇根大學(xué)信息學(xué)院(University of Michigan School of Information)助理教授弗洛里安·紹布(Florian Schaub)表示:“隨機(jī)生成電子郵件地址的能力,以及蘋果對(duì)這些憑證的管理,將使消費(fèi)者在與移動(dòng)應(yīng)用程序和在線服務(wù)互動(dòng)時(shí),更容易保護(hù)自己的個(gè)人信息。有趣的是,我們看到蘋果公司采用了谷歌、Facebook和其他公司成熟的單點(diǎn)登錄服務(wù),但重點(diǎn)是讓人們更容易地保護(hù)自己的隱私。當(dāng)然,這需要你相信蘋果會(huì)信守承諾,不會(huì)追蹤或分析你使用哪些服務(wù)的賬戶,以及你登錄這些賬戶的頻率?!?/p>

Walsh:“使用谷歌或Facebook自動(dòng)登錄服務(wù)是有問題的,因?yàn)樗试S在這些服務(wù)之間建立連接。這將導(dǎo)致數(shù)據(jù)在各個(gè)平臺(tái)之間共享,并可能導(dǎo)致從Facebook/谷歌到相關(guān)服務(wù)的不同級(jí)別的企業(yè)跟蹤,反之亦然。允許蘋果公司登錄你的服務(wù)只是將服務(wù)連接到蘋果公司,而不是谷歌或Facebook。但是,它仍然允許在兩個(gè)服務(wù)之間建立連接,這可能導(dǎo)致跨這些平臺(tái)訪問和共享數(shù)據(jù)。因此,這真的取決于你在Facebook或谷歌上對(duì)蘋果的信任程度,以及讓他們?yōu)槟愫灥降降子卸嗪谩?/p>

“我對(duì)消費(fèi)者的建議是,每次都直接登錄所有服務(wù);不需要將它們連接到任何第三方服務(wù)。這將需要一個(gè)電子郵件地址,但消費(fèi)者可以簡單地使用燃燒器電子郵件——或安全電子郵件提供商提供的別名。這消除了與共享電子郵件地址相關(guān)的隱私和安全問題,但也消除了跨平臺(tái)訪問不同平臺(tái)和服務(wù)的信息的更大問題?!?/p>

Simberkoff:“答案部分取決于你注冊(cè)的網(wǎng)站和服務(wù)。可以這樣說,像蘋果這樣的公司在保護(hù)你的身份和隱私方面可能比你可能加入的一些較小的組織和服務(wù)更有優(yōu)勢(shì)。此外,由于消費(fèi)者在創(chuàng)建帳戶和密碼時(shí)通常比較草率,所以他們經(jīng)常在多個(gè)位置使用相同的用戶名和密碼。如果是這種情況,將“身份”托付給一家較小的企業(yè),可能會(huì)增加企業(yè)因安全問題而被攻破的可能性。

“通過使用帶有隱私保護(hù)的單點(diǎn)登錄,消費(fèi)者可能會(huì)得到更好的保護(hù)。話雖如此,如果蘋果公司失敗了,它將產(chǎn)生重大影響。然而,至少我們知道,他們不太可能像Facebook和谷歌那樣利用這些個(gè)人信息賺錢。”

Hudnall:“這是非??尚械?,由于蘋果對(duì)其整個(gè)生態(tài)系統(tǒng)的嚴(yán)格控制,這很可能會(huì)被迅速采用。隨著科技的快速發(fā)展,蘋果、谷歌、Facebook和微軟之間的“誰是最快的/最好的”競(jìng)爭對(duì)消費(fèi)者來說是非常棒的。很高興看到隱私和安全現(xiàn)在將成為一個(gè)有爭議的戰(zhàn)場(chǎng),而這一聲明將為這一火上澆油。

“沒有任何一項(xiàng)技術(shù)或公司擁有明顯更好的企業(yè)堆棧、人員或資源。不過,蘋果對(duì)其產(chǎn)品和服務(wù)的控制要比任何競(jìng)爭對(duì)手都大得多。與只依賴主機(jī)系統(tǒng)硬件設(shè)備的Facebook和對(duì)運(yùn)行其軟件的大多數(shù)設(shè)備的輸入/控制有限的谷歌不同,蘋果完全控制了硬件和軟件驗(yàn)證過程。這無疑使蘋果能夠更好地實(shí)現(xiàn)一個(gè)更好地保護(hù)用戶隱私的系統(tǒng)。”

紹布:就生存能力而言,我不太關(guān)心。蘋果已經(jīng)在大量的蘋果服務(wù)中使用它的Apple ID賬戶進(jìn)行身份驗(yàn)證,所以它現(xiàn)在只是將其中的一些功能提供給第三方使用。最大的不同在于,蘋果將登錄定位為隱私功能,而Facebook和谷歌則將其單點(diǎn)登錄服務(wù)定位為便利功能??紤]到蘋果的商業(yè)模式以向客戶銷售設(shè)備和訂閱服務(wù)為中心,并從其平臺(tái)提供的內(nèi)容中獲利,蘋果一直將隱私作為一個(gè)差異化因素。

“另一方面,F(xiàn)acebook和谷歌的商業(yè)模式很大程度上是建立在非常擅長針對(duì)人的廣告上,這需要跟蹤人們的在線和應(yīng)用程序行為。讓他們的單點(diǎn)登錄按鈕出現(xiàn)在更多的網(wǎng)頁上,可以讓Facebook和谷歌獲得更多關(guān)于你使用哪些應(yīng)用程序和服務(wù)以及使用頻率的數(shù)據(jù)點(diǎn)。至少到目前為止,蘋果沒有?!?/p>

沃爾什:“不,最好不要讓第三方服務(wù)或平臺(tái)訪問單獨(dú)的服務(wù)。正是出于這個(gè)原因,安全電子郵件提供商允許用戶設(shè)置臨時(shí)燃燒器地址,即別名。最好不要使用第三方登錄功能來訪問任何在線服務(wù)。在不使用第三方的情況下,安全地登錄到所有內(nèi)容總是更好的。如果這需要用戶記住更多的密碼,那么他們應(yīng)該使用可靠的密碼管理器和雙因素身份驗(yàn)證。”

Hudnall:“是的,但是有很多警告。蘋果的新系統(tǒng)比傳統(tǒng)的用戶名/密碼組合更好,大多數(shù)人最終會(huì)在多個(gè)網(wǎng)站上重復(fù)使用。它也比LastPass、Keeper或Dashlane等優(yōu)秀的密碼管理軟件進(jìn)步了一步,后者可以為每個(gè)網(wǎng)站動(dòng)態(tài)生成不同的密碼。蘋果的系統(tǒng)并沒有為每個(gè)網(wǎng)站生成密碼,而是將所有的認(rèn)證信息(主要是生物認(rèn)證)保存在其硬件和服務(wù)器中。

在用戶識(shí)別自己的身份后,會(huì)生成一個(gè)令牌,并由蘋果的服務(wù)器進(jìn)行加密簽名,然后將這個(gè)身份驗(yàn)證令牌傳遞給需要身份驗(yàn)證的網(wǎng)站。然后,該網(wǎng)站打電話給蘋果公司,核實(shí)令牌,并獲得有關(guān)用戶的有限信息。由于沒有任何憑據(jù)離開蘋果系統(tǒng),因此這個(gè)過程可能更安全。然而,蘋果系統(tǒng)的許多方面都是專有的,可能包含意外或有目的的后門?!?/p>

Schaub:“(與蘋果公司簽約)最重要的好處是,不是所有的應(yīng)用程序或在線服務(wù)都能得到你的真實(shí)電子郵件地址?,F(xiàn)在幾乎所有的應(yīng)用程序和服務(wù)都需要賬戶,但你真的相信所有這些公司會(huì)保護(hù)你的個(gè)人數(shù)據(jù)安全嗎?數(shù)據(jù)泄露非常普遍,使人們?nèi)菀资艿结烎~攻擊和身份盜竊。

“如果用在蘋果導(dǎo)致人們擁有獨(dú)特的電子郵件地址為每個(gè)帳戶可能容易識(shí)別意料之外的網(wǎng)絡(luò)釣魚電子郵件地址和也停止這樣的郵件以及垃圾郵件刪除這個(gè)地址,假設(shè)是與蘋果將允許登錄。如果你在任何地方都使用你的實(shí)際電子郵件地址,這是非常困難的,甚至是不可能的?!?/p>

沃爾什:“蘋果公司很早就明白,將自己定位為‘更好地保護(hù)隱私’,總是能吸引一定數(shù)量的顧客。然而,值得注意的是,專業(yè)安全專家一直認(rèn)為,蘋果的產(chǎn)品和服務(wù)是不可審計(jì)的,因?yàn)檫@些產(chǎn)品和服務(wù)都是閉源的。僅這一點(diǎn)就應(yīng)該讓消費(fèi)者大開眼界,因?yàn)榭梢杂傻谌綄徲?jì)的開放源代碼是受到高度贊揚(yáng)的隱私服務(wù)(如open Whispers Signal)的基石。

此外,已有證據(jù)表明,蘋果曾幫助情報(bào)機(jī)構(gòu)實(shí)施“棱鏡”(PRISM)監(jiān)控項(xiàng)目。出于這個(gè)原因,蘋果是否真的應(yīng)該像許多人盲目相信的那樣,值得高度懷疑。”

Hudnall:“這是一個(gè)時(shí)代的標(biāo)志。蘋果看到了Facebook、Experian等公司的大規(guī)模數(shù)據(jù)泄露,并意識(shí)到需要更好地為用戶提供保護(hù)和隱私保護(hù)。與Facebook和谷歌相比,這是一個(gè)蘋果可以隨時(shí)拿起的旗幟。蘋果的盈利模式并不依賴于轉(zhuǎn)售用戶信息,因此保護(hù)用戶信息更容易讓他們說和做,因?yàn)檫@不會(huì)影響蘋果的底線。

“每當(dāng)一家公司試圖提高其認(rèn)證市場(chǎng)份額時(shí),它必然會(huì)成為黑客更關(guān)注的目標(biāo)。蘋果需要確保它有足夠的硬件和服務(wù)來抵御大規(guī)模的DDoS攻擊,以及正常的系統(tǒng)運(yùn)行時(shí)間。用戶不會(huì)容忍他們的單點(diǎn)身份驗(yàn)證被“停機(jī)維護(hù)”。我還想了解蘋果公司為保護(hù)用戶數(shù)據(jù)和確保驗(yàn)證過程不受中間人或其他攻擊載體的影響而采取的安全措施。”

Schaub:“一段時(shí)間以來,蘋果一直將隱私作為區(qū)分因素,從強(qiáng)大的設(shè)備加密到試圖實(shí)現(xiàn)保護(hù)隱私的設(shè)備和應(yīng)用程序分析數(shù)據(jù)收集。與谷歌和Facebook在單點(diǎn)登錄上展開正面交鋒,或許也是一個(gè)及時(shí)的嘗試,旨在強(qiáng)調(diào)考慮到谷歌和Facebook最近發(fā)布的與隱私相關(guān)的公告,蘋果正在認(rèn)真對(duì)待隱私問題。

“人們應(yīng)該記住的是,蘋果將管理賬戶細(xì)節(jié),并有可能知道你何時(shí)登錄某個(gè)服務(wù)?!边@意味著你必須相信蘋果公司會(huì)保證這些信息的安全,不會(huì)以其他方式使用你的賬戶信息。所以你可能想要小心敏感的帳戶,如等。然而,如果你還沒有使用一個(gè)為你的在線賬戶生成強(qiáng)大而獨(dú)特的密碼的密碼管理器,那么登陸蘋果可能會(huì)提高你的安全性?!?/p>

雖然我們說話的專家似乎認(rèn)為使用蘋果的登錄工具可能是一個(gè)更好、更安全的選擇比從Facebook或谷歌,蘋果仍然有問題需要回答,就像如果你使用在與蘋果和失去你的iPhone或訪問您的蘋果ID賬戶?此外,肖博和沃爾什表示,蘋果需要披露它將與支持該功能的服務(wù)和應(yīng)用程序共享何種類型的用戶信息。Schaub補(bǔ)充道:“用戶對(duì)共享的控制是什么樣的?”“在出現(xiàn)數(shù)據(jù)泄露或垃圾郵件的情況下,用戶能夠撤銷/刪除隨機(jī)的電子郵件地址嗎?”

在今年晚些時(shí)候發(fā)布之前,蘋果公司必須澄清這些細(xì)節(jié)。


免責(zé)聲明:本文由用戶上傳,如有侵權(quán)請(qǐng)聯(lián)系刪除!

最新文章

精彩推薦

圖文推薦

點(diǎn)擊排行

2016-2022 All Rights Reserved.平安財(cái)經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082   備案號(hào):閩ICP備19027007號(hào)-6

本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。