写点什么

谷歌正推出 Passkey,密码将成历史

  • 2023-05-31
    北京
  • 本文字数:1148 字

    阅读完需:约 4 分钟

谷歌正推出Passkey,密码将成历史

谷歌已经开始在所有主要平台的谷歌账户上提供Passkey支持。Passkey 将作为现有机制(包括密码、两步认证等)的附加身份验证选项提供。

 

按照谷歌的说法,Passkey 为用户提供了一种更简单、更安全的认证方式。

 

Passkey 允许用户像解锁设备一样登录应用和网站:通过指纹、面部扫描或屏幕锁定 PIN 码。而且,与密码不同,Passkey 可以抵御网络钓鱼等在线攻击,这使得它们比一次性短信验证码更安全。

 

对于用户来说,密码是出了名的难以管理,他们需要创建并记住大量的强密码,而且要为他们使用的每个服务都设定不同的密码。事实上,尽管密码可能很强大,但它们并不能保护用户免受网络钓鱼攻击的侵害,并且越来越频繁地与另一种机制——双因素身份验证(2FA)——搭配使用,而这种机制也有自身的缺点。

 

在底层,Passkey 是存储在用户设备上的加密私钥,而对应的公钥则上传到谷歌。当用户试图使用 Passkey 登录谷歌时,谷歌将要求他们的设备使用私钥签署挑战书(sign a challenge)。

 

这个签名向我们证明了设备是你的,因为它有私钥,是你在设备上解锁它,而你确实是在尝试登录谷歌,而不是一些中间网络钓鱼站点。

 

用户只有在解锁了设备的情况下才能签署挑战书,这一步可以利用许多设备都提供的先进的生物识别硬件,包括指纹和面部识别。或者,用户可以使用更传统的 PIN 码。根据谷歌的说法,任何生物特征数据都不会在签名设备之外共享,签名设备只会发送公钥和签名。

 

谷歌还提供了一种机制,让你可以借助自己的手机在另一台设备上登录。当你需要从共享设备上访问自己的账户时,这一点至关重要。在这种情况下,设备将首先使用蓝牙检查手机是否在附近,然后它会显示一个 QR 码,如果用户要授权,就可以用手机进行扫描并用它生成一次性密码签名。这个新设备既不会收到 Passkey,也不会接收到任何生物特征信息。

 

密钥驻留在个人设备上,每个设备都需要获得自己的 Passkey,这可能会很麻烦。为了规避这个问题,你可以在所有设备上共享 Passkey。谷歌并没有为此提供一种通用的机制,但用户可以依靠苹果设备上的 iCloud Keychain,以及 Android 和 Chrome 设备上的谷歌密码管理器来获得完美的体验。遗憾的是,除非使用第三方 SSH 密钥管理器,否则不能在 iPhone 和 Android 设备之间共享 Passkey。值得注意的是,微软官方尚未提供一个可以跨 Windows 设备共享秘密的解决方案。

 

要为自己的谷歌帐户创建一个 Passkey,目前你需要使用一个专用域

 

去年,谷歌一直在与苹果和微软合作,制定标准的方法,其中包括可以在全行业采用的无密码认证方法FIDOW3C WebAuthn

 

声明:本文为 InfoQ 翻译,未经许可禁止转载。

 

原文链接:

https://www.infoq.com/news/2023/05/google-passkeys-rollout/


延伸阅读:

AI 开始抢黑客饭碗?攻击快又准,不到一分钟破解超过半数的密码

让部署更快更安全,GitHub 无密码部署现已上线

2023-05-31 18:2415887

评论 4 条评论

发布
用户头像
有了这个登录,我就再也找不回密码了,完全忘了哈哈;顺便吐槽fb的账号找回真的拉胯,有邮箱都找不回来。
2023-08-04 10:30 · 北京
回复
用户头像
这不是客户端扫二维码登录吗
2023-06-14 17:21 · 上海
回复
用户头像
短信验证码不是更安全?
2023-06-01 08:34 · 广东
回复
YouTube可以搜到一些sms verification code attack教程。一些做密码安全管理的网址,有宣传短信验证的不安全原因。
2023-06-06 14:44 · 山东
回复
没有更多了
发现更多内容

YOLOv5全面解析教程⑤:计算mAP用到的Numpy函数详解

OneFlow

人工智能 深度学习

N皇后问题的回溯法实现

老王同学

c++ 八皇后 回溯法

ChatGPT 不仅是 AI 的成功,也是云计算的成功 | 社区征文

多颗糖

云计算 AI 云原生 ChatGPT

研发效能度量标准与实践

思码逸研发效能

研发效能

美团前端常见react面试题(附答案)

beifeng1996

前端 React

志愿者招募令|来!一起Build OceanBase第一次开发者大会

OceanBase 数据库

数据库 oceanbase

见山,见路,见天地:OpenHarmony的开源共建攀登

脑极体

开源鸿蒙

如何快速理解事务隔离

Dinfan

数据库 innodb 事务隔离

一文看懂:近期不断 “狂飙” 的 ChatGPT | 社区征文

架构精进之路

ChatGPT

根据文本描述生成视频,Tune-A-Video 效果惊艳

Zilliz

计算机视觉

NLP 双数组字典树(double array trie) 基于darts-java改进,增加词性存储。

alexgaoyh

elasticsearch nlp darts-java 词性 double array trie

chianmaker交易初探

liwh1227

区块链 共识算法 联盟链架构

重磅 | 超级自动化行业黑马九科信息再获数千万A+轮融资 ——电科信息领投,深创投索斯福跟投,老股东信天创投、青松基金追加投资

九科Ninetech

面试官:说说Event Loop事件循环、微任务、宏任务

loveX001

JavaScript 前端

前端经典面试题(有答案)

loveX001

JavaScript 前端

一次线上OOM问题分析

艾小仙

Java OOM 问题排查 排查方法

问:React的setState为什么是异步的?

beifeng1996

前端 React

22道js输出顺序问题,你能做出几道

loveX001

JavaScript 前端

美团前端二面面试题

loveX001

JavaScript 前端

C++入门简单实例

老王同学

c++ 入门

Python:Excel自动化实践入门篇 乙【送图书活动继续】

eng八戒

Python Excel Python自动化办公

新一代通信协议—— RSocket

老周聊架构

响应式编程 2月月更 rsocket

“堆内存持续占用高 且 ygc回收效果不佳” 排查处理实践

京东科技开发者

前端 堆内存 回收器 JavaScrip 企业号 3 月 PK 榜

老生常谈React的diff算法原理-面试版

beifeng1996

前端 React

一起玩转开源数据库!OceanBase DevCon 之开源生态全景解析

OceanBase 数据库

数据库 oceanbase

2023年最佳Aspera替代方案,选择适合的Aspera替代方案

镭速

一文深度解读音视频行业技术发展历程

阿里云视频云

云计算

前端必会react面试题

beifeng1996

前端 React

号码隐私保护服务:保障亿万消费者的隐私安全

阿里云视频云

云计算

ChatGPT看技术发展趋势| 社区征文

梦笔生花

人工智能 openai ChatGPT

谷歌正推出Passkey,密码将成历史_安全_Sergio De Simone_InfoQ精选文章