專家們對蘋果的私人登錄功能提出了自己的看法

蘋果公司(Apple) 2019年全球開發(fā)者大會(WWDC)上到處都是公告，但其中很少有像“與蘋果公司一起簽到”(Sign in with Apple)推出時那樣得到觀眾的歡呼。

該功能允許用戶使用Apple id注冊網站和網絡服務，被吹捧為一種面向隱私的替代方式，可以替代Facebook登錄和谷歌登錄。蘋果軟件工程高級副總裁克雷格費德里吉(Craig Federighi)在周一的主題演講中說，“我們都見過這樣的按鈕，要求我們使用社交賬戶登錄來獲得更個性化的應用體驗，這些登錄可以用來追蹤你?！薄拔覀兿虢鉀Q這個問題，很多開發(fā)人員也想解決這個問題，所以現在我們有了解決方案。”

費德里吉表示，這個解決方案是與蘋果公司簽約，他說這將限制使用蘋果iOS和macOS設備的用戶可以獲得的私人信息的數量。雖然網站和應用程序仍然可以請求你的電子郵件地址，但與蘋果公司簽約后，你可以選擇隱藏它。更妙的是:如果你決定不分享這些信息，蘋果將生成一個獨一無二的隨機電子郵件地址，可以將這些服務的信息直接轉發(fā)到你的主收件箱。這將使網站和應用程序不知道你的真實電子郵件地址，蘋果公司表示，它不會使用登錄工具來跟蹤你的任何互聯(lián)網活動——該公司表示，谷歌和Facebook可以用他們的登錄按鈕做到這一點。

由于谷歌最近在歐洲因違反數據透明度而被罰款，而Facebook因可疑的數據共享行為即將被聯(lián)邦貿易委員會罰款數十億美元，在保護用戶數據方面，他們的名聲并不好。也就是說，蘋果公司本身并沒有隱私爭議。

今年2月，《華爾街日報》(The Wall Street Journal)報道稱，多個iOS應用程序在未經用戶同意的情況下與Facebook共享數據。上個月，《紐約時報》發(fā)表了另一篇報道，稱一些開發(fā)者利用兒童應用收集、追蹤和分享兒童信息，包括姓名和年齡。類似的事件導致蘋果限制了兒童應用程序的追蹤和廣告，這是蘋果在2019年全球開發(fā)者大會(WWDC)上發(fā)布的一項隱私措施，同時發(fā)布了新的登錄功能。

但蘋果真的能比谷歌和Facebook更好地處理隱私問題嗎?為了找到答案，我們采訪了安全和隱私專家，討論了與蘋果公司簽約的問題，他們中的大多數人認為，這項功能可能會改變保護消費者隱私的游戲規(guī)則。一些人還認為，它對谷歌和Facebook的底線構成了真正的威脅，后者當然嚴重依賴定向廣告和用戶可以通過自己的登錄工具訪問的個人數據。

ProPrivacy.com的數據隱私專家雷·沃爾什說:“對消費者來說，不用真實的電子郵件地址就能登錄的概念是朝著正確方向邁出的一步。不需要共享真實的電子郵件地址就可以登錄，這就從這些服務中刪除了一個至關重要的數據。然而，當用戶訪問web服務站點時，web服務仍然可以從用戶那里收集其他重要數據——這些數據仍然可以用來跟蹤他們。當你訪問一個網站時，該服務自動接收你的IP地址;這是一個非常有價值的跟蹤工具。因此，與蘋果公司簽約只是從等式中移除一小塊可追蹤的數據?！?/p>

AvePoint首席風險、隱私和信息安全官達娜?西姆伯克夫(Dana Simberkoff):“(與蘋果簽約)是蘋果利用其長期以來對隱私保護的承諾進入新市場的又一次機會，并從那些缺乏隱私前瞻性的競爭對手那里奪走一些市場份額。如果做得對，這不僅是蘋果的勝利，也是消費者的勝利，消費者可能會利用一個更以隱私為中心的登錄選項。蘋果首席執(zhí)行官蒂姆·庫克經常談到公司反對收集個人數據的立場。尤其值得一提的是，庫克特別指出了消費者資料的收集是為了定位廣告——這也是谷歌和Facebook賺錢的核心?！?/p>

阿拉巴馬大學(University of Alabama)管理信息系統(tǒng)副主任兼助理教授馬修·赫德納爾(Matthew Hudnall)博士說:“‘與蘋果公司簽約是一個非常必要的功能，它很好地適應了(蘋果公司)不斷發(fā)展的以用戶為中心的生態(tài)系統(tǒng)。[它]代表了從傳統(tǒng)密鑰鏈范式向硬件驗證生物特征與動態(tài)憑證生成、存儲和驗證相結合的范式的第一次轉變，從而消除了對傳統(tǒng)密碼的需要。雖然蘋果肯定不是唯一一個試圖消除密碼的公司，但他們肯定是在以一種我們已經預料到的方式來這么做:要么全部清除，要么什么都不清除?！?/p>

密歇根大學信息學院(University of Michigan School of Information)助理教授弗洛里安·紹布(Florian Schaub)表示:“隨機生成電子郵件地址的能力，以及蘋果對這些憑證的管理，將使消費者在與移動應用程序和在線服務互動時，更容易保護自己的個人信息。有趣的是，我們看到蘋果公司采用了谷歌、Facebook和其他公司成熟的單點登錄服務，但重點是讓人們更容易地保護自己的隱私。當然，這需要你相信蘋果會信守承諾，不會追蹤或分析你使用哪些服務的賬戶，以及你登錄這些賬戶的頻率。”

Walsh:“使用谷歌或Facebook自動登錄服務是有問題的，因為它允許在這些服務之間建立連接。這將導致數據在各個平臺之間共享，并可能導致從Facebook/谷歌到相關服務的不同級別的企業(yè)跟蹤，反之亦然。允許蘋果公司登錄你的服務只是將服務連接到蘋果公司，而不是谷歌或Facebook。但是，它仍然允許在兩個服務之間建立連接，這可能導致跨這些平臺訪問和共享數據。因此，這真的取決于你在Facebook或谷歌上對蘋果的信任程度，以及讓他們?yōu)槟愫灥降降子卸嗪谩?/p>

“我對消費者的建議是，每次都直接登錄所有服務;不需要將它們連接到任何第三方服務。這將需要一個電子郵件地址，但消費者可以簡單地使用燃燒器電子郵件——或安全電子郵件提供商提供的別名。這消除了與共享電子郵件地址相關的隱私和安全問題，但也消除了跨平臺訪問不同平臺和服務的信息的更大問題?！?/p>

Simberkoff:“答案部分取決于你注冊的網站和服務?？梢赃@樣說，像蘋果這樣的公司在保護你的身份和隱私方面可能比你可能加入的一些較小的組織和服務更有優(yōu)勢。此外，由于消費者在創(chuàng)建帳戶和密碼時通常比較草率，所以他們經常在多個位置使用相同的用戶名和密碼。如果是這種情況，將“身份”托付給一家較小的企業(yè)，可能會增加企業(yè)因安全問題而被攻破的可能性。

“通過使用帶有隱私保護的單點登錄，消費者可能會得到更好的保護。話雖如此，如果蘋果公司失敗了，它將產生重大影響。然而，至少我們知道，他們不太可能像Facebook和谷歌那樣利用這些個人信息賺錢?！?/p>

Hudnall:“這是非?？尚械?，由于蘋果對其整個生態(tài)系統(tǒng)的嚴格控制，這很可能會被迅速采用。隨著科技的快速發(fā)展，蘋果、谷歌、Facebook和微軟之間的“誰是最快的/最好的”競爭對消費者來說是非常棒的。很高興看到隱私和安全現在將成為一個有爭議的戰(zhàn)場，而這一聲明將為這一火上澆油。

“沒有任何一項技術或公司擁有明顯更好的企業(yè)堆棧、人員或資源。不過，蘋果對其產品和服務的控制要比任何競爭對手都大得多。與只依賴主機系統(tǒng)硬件設備的Facebook和對運行其軟件的大多數設備的輸入/控制有限的谷歌不同，蘋果完全控制了硬件和軟件驗證過程。這無疑使蘋果能夠更好地實現一個更好地保護用戶隱私的系統(tǒng)?！?/p>

紹布:就生存能力而言，我不太關心。蘋果已經在大量的蘋果服務中使用它的Apple ID賬戶進行身份驗證，所以它現在只是將其中的一些功能提供給第三方使用。最大的不同在于，蘋果將登錄定位為隱私功能，而Facebook和谷歌則將其單點登錄服務定位為便利功能?？紤]到蘋果的商業(yè)模式以向客戶銷售設備和訂閱服務為中心，并從其平臺提供的內容中獲利，蘋果一直將隱私作為一個差異化因素。

“另一方面，Facebook和谷歌的商業(yè)模式很大程度上是建立在非常擅長針對人的廣告上，這需要跟蹤人們的在線和應用程序行為。讓他們的單點登錄按鈕出現在更多的網頁上，可以讓Facebook和谷歌獲得更多關于你使用哪些應用程序和服務以及使用頻率的數據點。至少到目前為止，蘋果沒有?！?/p>

沃爾什:“不，最好不要讓第三方服務或平臺訪問單獨的服務。正是出于這個原因，安全電子郵件提供商允許用戶設置臨時燃燒器地址，即別名。最好不要使用第三方登錄功能來訪問任何在線服務。在不使用第三方的情況下，安全地登錄到所有內容總是更好的。如果這需要用戶記住更多的密碼，那么他們應該使用可靠的密碼管理器和雙因素身份驗證?！?/p>

Hudnall:“是的，但是有很多警告。蘋果的新系統(tǒng)比傳統(tǒng)的用戶名/密碼組合更好，大多數人最終會在多個網站上重復使用。它也比LastPass、Keeper或Dashlane等優(yōu)秀的密碼管理軟件進步了一步，后者可以為每個網站動態(tài)生成不同的密碼。蘋果的系統(tǒng)并沒有為每個網站生成密碼，而是將所有的認證信息(主要是生物認證)保存在其硬件和服務器中。

在用戶識別自己的身份后，會生成一個令牌，并由蘋果的服務器進行加密簽名，然后將這個身份驗證令牌傳遞給需要身份驗證的網站。然后，該網站打電話給蘋果公司，核實令牌，并獲得有關用戶的有限信息。由于沒有任何憑據離開蘋果系統(tǒng)，因此這個過程可能更安全。然而，蘋果系統(tǒng)的許多方面都是專有的，可能包含意外或有目的的后門。”

Schaub:“(與蘋果公司簽約)最重要的好處是，不是所有的應用程序或在線服務都能得到你的真實電子郵件地址?，F在幾乎所有的應用程序和服務都需要賬戶，但你真的相信所有這些公司會保護你的個人數據安全嗎?數據泄露非常普遍，使人們容易受到釣魚攻擊和身份盜竊。

“如果用在蘋果導致人們擁有獨特的電子郵件地址為每個帳戶可能容易識別意料之外的網絡釣魚電子郵件地址和也停止這樣的郵件以及垃圾郵件刪除這個地址,假設是與蘋果將允許登錄。如果你在任何地方都使用你的實際電子郵件地址，這是非常困難的，甚至是不可能的?！?/p>

沃爾什:“蘋果公司很早就明白，將自己定位為‘更好地保護隱私’，總是能吸引一定數量的顧客。然而，值得注意的是，專業(yè)安全專家一直認為，蘋果的產品和服務是不可審計的，因為這些產品和服務都是閉源的。僅這一點就應該讓消費者大開眼界，因為可以由第三方審計的開放源代碼是受到高度贊揚的隱私服務(如open Whispers Signal)的基石。

此外，已有證據表明，蘋果曾幫助情報機構實施“棱鏡”(PRISM)監(jiān)控項目。出于這個原因，蘋果是否真的應該像許多人盲目相信的那樣，值得高度懷疑。”

Hudnall:“這是一個時代的標志。蘋果看到了Facebook、Experian等公司的大規(guī)模數據泄露，并意識到需要更好地為用戶提供保護和隱私保護。與Facebook和谷歌相比，這是一個蘋果可以隨時拿起的旗幟。蘋果的盈利模式并不依賴于轉售用戶信息，因此保護用戶信息更容易讓他們說和做，因為這不會影響蘋果的底線。

“每當一家公司試圖提高其認證市場份額時，它必然會成為黑客更關注的目標。蘋果需要確保它有足夠的硬件和服務來抵御大規(guī)模的DDoS攻擊，以及正常的系統(tǒng)運行時間。用戶不會容忍他們的單點身份驗證被“停機維護”。我還想了解蘋果公司為保護用戶數據和確保驗證過程不受中間人或其他攻擊載體的影響而采取的安全措施?！?/p>

Schaub:“一段時間以來，蘋果一直將隱私作為區(qū)分因素，從強大的設備加密到試圖實現保護隱私的設備和應用程序分析數據收集。與谷歌和Facebook在單點登錄上展開正面交鋒，或許也是一個及時的嘗試，旨在強調考慮到谷歌和Facebook最近發(fā)布的與隱私相關的公告，蘋果正在認真對待隱私問題。

“人們應該記住的是，蘋果將管理賬戶細節(jié)，并有可能知道你何時登錄某個服務?！边@意味著你必須相信蘋果公司會保證這些信息的安全，不會以其他方式使用你的賬戶信息。所以你可能想要小心敏感的帳戶，如等。然而，如果你還沒有使用一個為你的在線賬戶生成強大而獨特的密碼的密碼管理器，那么登陸蘋果可能會提高你的安全性?！?/p>

雖然我們說話的專家似乎認為使用蘋果的登錄工具可能是一個更好、更安全的選擇比從Facebook或谷歌,蘋果仍然有問題需要回答,就像如果你使用在與蘋果和失去你的iPhone或訪問您的蘋果ID賬戶?此外，肖博和沃爾什表示，蘋果需要披露它將與支持該功能的服務和應用程序共享何種類型的用戶信息。Schaub補充道:“用戶對共享的控制是什么樣的?”“在出現數據泄露或垃圾郵件的情況下，用戶能夠撤銷/刪除隨機的電子郵件地址嗎?”

在今年晚些時候發(fā)布之前，蘋果公司必須澄清這些細節(jié)。