写点什么

谷歌正推出 Passkey,密码将成历史

  • 2023-05-31
    北京
  • 本文字数:1148 字

    阅读完需:约 4 分钟

谷歌正推出Passkey,密码将成历史

谷歌已经开始在所有主要平台的谷歌账户上提供Passkey支持。Passkey 将作为现有机制(包括密码、两步认证等)的附加身份验证选项提供。

 

按照谷歌的说法,Passkey 为用户提供了一种更简单、更安全的认证方式。

 

Passkey 允许用户像解锁设备一样登录应用和网站:通过指纹、面部扫描或屏幕锁定 PIN 码。而且,与密码不同,Passkey 可以抵御网络钓鱼等在线攻击,这使得它们比一次性短信验证码更安全。

 

对于用户来说,密码是出了名的难以管理,他们需要创建并记住大量的强密码,而且要为他们使用的每个服务都设定不同的密码。事实上,尽管密码可能很强大,但它们并不能保护用户免受网络钓鱼攻击的侵害,并且越来越频繁地与另一种机制——双因素身份验证(2FA)——搭配使用,而这种机制也有自身的缺点。

 

在底层,Passkey 是存储在用户设备上的加密私钥,而对应的公钥则上传到谷歌。当用户试图使用 Passkey 登录谷歌时,谷歌将要求他们的设备使用私钥签署挑战书(sign a challenge)。

 

这个签名向我们证明了设备是你的,因为它有私钥,是你在设备上解锁它,而你确实是在尝试登录谷歌,而不是一些中间网络钓鱼站点。

 

用户只有在解锁了设备的情况下才能签署挑战书,这一步可以利用许多设备都提供的先进的生物识别硬件,包括指纹和面部识别。或者,用户可以使用更传统的 PIN 码。根据谷歌的说法,任何生物特征数据都不会在签名设备之外共享,签名设备只会发送公钥和签名。

 

谷歌还提供了一种机制,让你可以借助自己的手机在另一台设备上登录。当你需要从共享设备上访问自己的账户时,这一点至关重要。在这种情况下,设备将首先使用蓝牙检查手机是否在附近,然后它会显示一个 QR 码,如果用户要授权,就可以用手机进行扫描并用它生成一次性密码签名。这个新设备既不会收到 Passkey,也不会接收到任何生物特征信息。

 

密钥驻留在个人设备上,每个设备都需要获得自己的 Passkey,这可能会很麻烦。为了规避这个问题,你可以在所有设备上共享 Passkey。谷歌并没有为此提供一种通用的机制,但用户可以依靠苹果设备上的 iCloud Keychain,以及 Android 和 Chrome 设备上的谷歌密码管理器来获得完美的体验。遗憾的是,除非使用第三方 SSH 密钥管理器,否则不能在 iPhone 和 Android 设备之间共享 Passkey。值得注意的是,微软官方尚未提供一个可以跨 Windows 设备共享秘密的解决方案。

 

要为自己的谷歌帐户创建一个 Passkey,目前你需要使用一个专用域

 

去年,谷歌一直在与苹果和微软合作,制定标准的方法,其中包括可以在全行业采用的无密码认证方法FIDOW3C WebAuthn

 

声明:本文为 InfoQ 翻译,未经许可禁止转载。

 

原文链接:

https://www.infoq.com/news/2023/05/google-passkeys-rollout/


延伸阅读:

AI 开始抢黑客饭碗?攻击快又准,不到一分钟破解超过半数的密码

让部署更快更安全,GitHub 无密码部署现已上线

2023-05-31 18:2416120

评论 4 条评论

发布
用户头像
有了这个登录,我就再也找不回密码了,完全忘了哈哈;顺便吐槽fb的账号找回真的拉胯,有邮箱都找不回来。
2023-08-04 10:30 · 北京
回复
用户头像
这不是客户端扫二维码登录吗
2023-06-14 17:21 · 上海
回复
用户头像
短信验证码不是更安全?
2023-06-01 08:34 · 广东
回复
YouTube可以搜到一些sms verification code attack教程。一些做密码安全管理的网址,有宣传短信验证的不安全原因。
2023-06-06 14:44 · 山东
回复
没有更多了
发现更多内容

怎样徒手写一个React

helloworld1024fd

JavaScript

面试官问我:CSS有哪些属性可以继承

华为云开发者联盟

前端 华为云 企业号 2 月 PK 榜 华为云开发者联盟

BALENCIAGA 3XL 限量款数字藏品

科技热闻

Vue的computed和watch的区别是什么?

bb_xiaxia1998

Vue

react的useState源码分析

flyzz177

React

从react源码看hooks的原理

flyzz177

React

0源码基础学习Spring源码系列(一)——Bean注入流程

京东科技开发者

spring 开源 后端

产品的可持续发展

ShineScrum

产品 产品负责人 产品的可持续发展

基于昇腾计算语言AscendCL开发AI推理应用

华为云开发者联盟

人工智能 华为云 昇腾 企业号 2 月 PK 榜 华为云开发者联盟

从recat源码角度看setState流程

flyzz177

React

零基础入门AI?先来把机器学习捣鼓明白吧

博文视点Broadview

QCon演讲实录(上):多云环境下应用管理与交付实践

阿里云大数据AI技术

大数据 运维 企业号 2 月 PK 榜 云环境

阿里前端必会手写面试题汇总

helloworld1024fd

JavaScript

深入React源码揭开渲染更新流程的面纱

goClient1992

React

EMQX Cloud Serverless正式上线:实现三秒部署的MQTT Serverless云服务

EMQ映云科技

物联网 IoT mqtt emqx 企业号 2 月 PK 榜

百度前端常考vue面试题(附答案)

bb_xiaxia1998

Vue

20个 Git 命令玩转版本控制

SEAL安全

git 企业号 2 月 PK 榜 git command

深度分析React源码中的合成事件

goClient1992

React

焕新启航,「龙蜥大讲堂」2023 年度招募来了!13 场技术分享先睹为快

OpenAnolis小助手

直播 开源社区 龙蜥大讲堂 机密计算 月度主题

前端一面常考手写面试题整理

helloworld1024fd

JavaScript

5分钟体验代码仓托管、CloudIDE云端代码编辑、调试、运行

华为云开发者联盟

云计算 华为云 企业号 2 月 PK 榜 华为云开发者联盟

实现一个简单的Database9(译文)

GreatSQL

sqlite greatsql greatsql社区

Vue.$nextTick的原理是什么-vue面试进阶

bb_xiaxia1998

Vue

高级前端二面vue面试题(持续更新中)

bb_xiaxia1998

Vue

手写JS函数的call、apply、bind

helloworld1024fd

JavaScript

手写一个react,看透react运行机制

goClient1992

React

开源工具系列4:Nuclei

HummerCloud

网络安全 漏洞扫描

用Docker搭建更酷的本地开发环境

致知Fighting

Java Docker Linux 后端 开发

A-Ops性能火焰图——适用于云原生的全栈持续性能监测工具

openEuler

Linux 运维 操作系统 定位 性能监控

vivo 自研Jenkins资源调度系统设计与实践

vivo互联网技术

运维 jenkins 资源调度

谷歌正推出Passkey,密码将成历史_安全_Sergio De Simone_InfoQ精选文章