《2023中国云原生成熟度模型报告》清晰展现中国云原生技术发展成熟度现状! 了解详情
写点什么

谷歌正推出 Passkey,密码将成历史

  • 2023-05-31
    北京
  • 本文字数:1148 字

    阅读完需:约 4 分钟

谷歌正推出Passkey,密码将成历史

谷歌已经开始在所有主要平台的谷歌账户上提供Passkey支持。Passkey 将作为现有机制(包括密码、两步认证等)的附加身份验证选项提供。

 

按照谷歌的说法,Passkey 为用户提供了一种更简单、更安全的认证方式。

 

Passkey 允许用户像解锁设备一样登录应用和网站:通过指纹、面部扫描或屏幕锁定 PIN 码。而且,与密码不同,Passkey 可以抵御网络钓鱼等在线攻击,这使得它们比一次性短信验证码更安全。

 

对于用户来说,密码是出了名的难以管理,他们需要创建并记住大量的强密码,而且要为他们使用的每个服务都设定不同的密码。事实上,尽管密码可能很强大,但它们并不能保护用户免受网络钓鱼攻击的侵害,并且越来越频繁地与另一种机制——双因素身份验证(2FA)——搭配使用,而这种机制也有自身的缺点。

 

在底层,Passkey 是存储在用户设备上的加密私钥,而对应的公钥则上传到谷歌。当用户试图使用 Passkey 登录谷歌时,谷歌将要求他们的设备使用私钥签署挑战书(sign a challenge)。

 

这个签名向我们证明了设备是你的,因为它有私钥,是你在设备上解锁它,而你确实是在尝试登录谷歌,而不是一些中间网络钓鱼站点。

 

用户只有在解锁了设备的情况下才能签署挑战书,这一步可以利用许多设备都提供的先进的生物识别硬件,包括指纹和面部识别。或者,用户可以使用更传统的 PIN 码。根据谷歌的说法,任何生物特征数据都不会在签名设备之外共享,签名设备只会发送公钥和签名。

 

谷歌还提供了一种机制,让你可以借助自己的手机在另一台设备上登录。当你需要从共享设备上访问自己的账户时,这一点至关重要。在这种情况下,设备将首先使用蓝牙检查手机是否在附近,然后它会显示一个 QR 码,如果用户要授权,就可以用手机进行扫描并用它生成一次性密码签名。这个新设备既不会收到 Passkey,也不会接收到任何生物特征信息。

 

密钥驻留在个人设备上,每个设备都需要获得自己的 Passkey,这可能会很麻烦。为了规避这个问题,你可以在所有设备上共享 Passkey。谷歌并没有为此提供一种通用的机制,但用户可以依靠苹果设备上的 iCloud Keychain,以及 Android 和 Chrome 设备上的谷歌密码管理器来获得完美的体验。遗憾的是,除非使用第三方 SSH 密钥管理器,否则不能在 iPhone 和 Android 设备之间共享 Passkey。值得注意的是,微软官方尚未提供一个可以跨 Windows 设备共享秘密的解决方案。

 

要为自己的谷歌帐户创建一个 Passkey,目前你需要使用一个专用域

 

去年,谷歌一直在与苹果和微软合作,制定标准的方法,其中包括可以在全行业采用的无密码认证方法FIDOW3C WebAuthn

 

声明:本文为 InfoQ 翻译,未经许可禁止转载。

 

原文链接:

https://www.infoq.com/news/2023/05/google-passkeys-rollout/


延伸阅读:

AI 开始抢黑客饭碗?攻击快又准,不到一分钟破解超过半数的密码

让部署更快更安全,GitHub 无密码部署现已上线

2023-05-31 18:2413657

评论 4 条评论

发布
用户头像
有了这个登录,我就再也找不回密码了,完全忘了哈哈;顺便吐槽fb的账号找回真的拉胯,有邮箱都找不回来。
2023-08-04 10:30 · 北京
回复
用户头像
这不是客户端扫二维码登录吗
2023-06-14 17:21 · 上海
回复
用户头像
短信验证码不是更安全?
2023-06-01 08:34 · 广东
回复
YouTube可以搜到一些sms verification code attack教程。一些做密码安全管理的网址,有宣传短信验证的不安全原因。
2023-06-06 14:44 · 山东
回复
没有更多了
发现更多内容

从0到1介绍一下开源大数据比对平台dataCompare

诸葛子房

大数据 开源 低代码

npm 包 chalk-next 被开发者投毒,导致 SRC 目录被删

墨菲安全

npm 投毒 npm chalk-next chalk-next 投毒

软件测试/测试开发丨接口管理工具YApi怎么用?颜值高、易管理、超好用

测试人

软件测试 接口测试 YAPI 测试开发

湖南卫视携手华为云 打造跨年晚会“最炫科技风”

Geek_2d6073

灵雀云入选2022 EDGE AWARDS「创新场景50」年度最佳场景实践榜单

York

云原生 数字化转型 业务思维 科技创新

【架构设计】如何让你的应用做到高内聚、低耦合?

JAVA旭阳

Java 架构

上架苹果

雪奈椰子

ios打包

ios新游上架

雪奈椰子

ios打包

“数据库内核从入门到精通 ”系列课开讲!

阿里云数据库开源

开源数据库 polarDB PolarDB-X 阿里云数据库 PolarDB for PostgreSQL

做产品质量“守护神” 华为云CodeArts TestPlan测试管理平台解读

科技热闻

喜报|3DCAT入选“灵境杯”深圳市最佳元宇宙案例!

3DCAT实时渲染

虚拟现实 元宇宙 增强现实 实时云渲染 元宇宙开发

喜报 | 瑞云科技荣获“第四届天鸽奖十大创新企业”等两项大奖

3DCAT实时渲染

元宇宙 3DCAT 瑞云渲染

「技术直播」分布式数据库订阅功能的原理及实现

TDengine

数据库 tdengine 时序数据库

版本控制 | 一文了解虚拟制作,进入影视制作新赛道

龙智—DevSecOps解决方案

版本控制 版本控制软件 虚拟制作

消息收发弹性——生产集群如何解决大促场景消息收发的弹性&降本诉求

阿里巴巴云原生

阿里云 RocketMQ 云原生

ITSM | 权威指南发布,高速IT服务管理团队是什么样子的?

龙智—DevSecOps解决方案

数字化 ITSM IT服务管理中心

CodeArts TestPlan:一站式测试管理平台

华为云开发者联盟

云计算 后端 华为云 企业号 1 月 PK 榜

软件测试/测试开发丨你以为Shell只是命令行?读懂这篇文,给你的工作赋能

测试人

Shell 软件测试 命令行 自动化测试 测试开发

浅析华为云基于HBase MTTR上的优化实践

华为云开发者联盟

大数据 后端 华为云 企业号 1 月 PK 榜

分久必合?数据库进入“超”融合时代 | 爱分析调研

YMatrix 超融合数据库

数据库 数字化转型 案例分享 超融合数据库 YMatrix

缓存与数据库双写时的数据如何保证一致性?

风铃架构日知录

Java 程序员 后端 开发工程师 后端开发工程师

快速构造String对象及访问其内部成员的技巧

阿里技术

Java jdk FASTJSON2

软件测试/测试开发丨接口测试该怎么做?持证上岗的Charles,可以帮你做什么?

测试人

软件测试 自动化测试 接口测试 charles 测试发开

关于 Serverless 应用架构对企业价值的一些思考

阿里巴巴云原生

阿里云 Serverless 云原生

广西首次!3DCAT实时云渲染助力南宁数字气象科普馆上线

3DCAT实时渲染

云计算 云渲染 元宇宙 3DCAT 虚拟数字气象馆

可观测性之Log4j2优雅日志打印原创

宋小生

日志 可观测性 log4j2

2022年度回顾 | 这一年,LigaAI写了10万字

LigaAI

程序员 产品经理 敏捷开发 2022年终总结 企业号 1 月 PK 榜

iOS不想上架

雪奈椰子

ios打包

可以一学的代码优化小技巧:减少if-else冗余

华为云开发者联盟

JavaScript 前端 代码 华为云 企业号 1 月 PK 榜

首汽约车驶向极速统一之路!出行平台如何基于StarRocks构建实时数仓?

StarRocks

数据库

Java Agent 踩坑之 appendToSystemClassLoaderSearch 问题

阿里巴巴云原生

Java 阿里云 容器 云原生

  • 扫码添加小助手
    领取最新资料包
谷歌正推出Passkey,密码将成历史_安全_Sergio De Simone_InfoQ精选文章