【AICon】探索RAG 技术在实际应用中遇到的挑战及应对策略!AICon精华内容已上线73%>>> 了解详情
写点什么

谷歌正推出 Passkey,密码将成历史

  • 2023-05-31
    北京
  • 本文字数:1148 字

    阅读完需:约 4 分钟

谷歌正推出Passkey,密码将成历史

谷歌已经开始在所有主要平台的谷歌账户上提供Passkey支持。Passkey 将作为现有机制(包括密码、两步认证等)的附加身份验证选项提供。

 

按照谷歌的说法,Passkey 为用户提供了一种更简单、更安全的认证方式。

 

Passkey 允许用户像解锁设备一样登录应用和网站:通过指纹、面部扫描或屏幕锁定 PIN 码。而且,与密码不同,Passkey 可以抵御网络钓鱼等在线攻击,这使得它们比一次性短信验证码更安全。

 

对于用户来说,密码是出了名的难以管理,他们需要创建并记住大量的强密码,而且要为他们使用的每个服务都设定不同的密码。事实上,尽管密码可能很强大,但它们并不能保护用户免受网络钓鱼攻击的侵害,并且越来越频繁地与另一种机制——双因素身份验证(2FA)——搭配使用,而这种机制也有自身的缺点。

 

在底层,Passkey 是存储在用户设备上的加密私钥,而对应的公钥则上传到谷歌。当用户试图使用 Passkey 登录谷歌时,谷歌将要求他们的设备使用私钥签署挑战书(sign a challenge)。

 

这个签名向我们证明了设备是你的,因为它有私钥,是你在设备上解锁它,而你确实是在尝试登录谷歌,而不是一些中间网络钓鱼站点。

 

用户只有在解锁了设备的情况下才能签署挑战书,这一步可以利用许多设备都提供的先进的生物识别硬件,包括指纹和面部识别。或者,用户可以使用更传统的 PIN 码。根据谷歌的说法,任何生物特征数据都不会在签名设备之外共享,签名设备只会发送公钥和签名。

 

谷歌还提供了一种机制,让你可以借助自己的手机在另一台设备上登录。当你需要从共享设备上访问自己的账户时,这一点至关重要。在这种情况下,设备将首先使用蓝牙检查手机是否在附近,然后它会显示一个 QR 码,如果用户要授权,就可以用手机进行扫描并用它生成一次性密码签名。这个新设备既不会收到 Passkey,也不会接收到任何生物特征信息。

 

密钥驻留在个人设备上,每个设备都需要获得自己的 Passkey,这可能会很麻烦。为了规避这个问题,你可以在所有设备上共享 Passkey。谷歌并没有为此提供一种通用的机制,但用户可以依靠苹果设备上的 iCloud Keychain,以及 Android 和 Chrome 设备上的谷歌密码管理器来获得完美的体验。遗憾的是,除非使用第三方 SSH 密钥管理器,否则不能在 iPhone 和 Android 设备之间共享 Passkey。值得注意的是,微软官方尚未提供一个可以跨 Windows 设备共享秘密的解决方案。

 

要为自己的谷歌帐户创建一个 Passkey,目前你需要使用一个专用域

 

去年,谷歌一直在与苹果和微软合作,制定标准的方法,其中包括可以在全行业采用的无密码认证方法FIDOW3C WebAuthn

 

声明:本文为 InfoQ 翻译,未经许可禁止转载。

 

原文链接:

https://www.infoq.com/news/2023/05/google-passkeys-rollout/


延伸阅读:

AI 开始抢黑客饭碗?攻击快又准,不到一分钟破解超过半数的密码

让部署更快更安全,GitHub 无密码部署现已上线

2023-05-31 18:2415273

评论 4 条评论

发布
用户头像
有了这个登录,我就再也找不回密码了,完全忘了哈哈;顺便吐槽fb的账号找回真的拉胯,有邮箱都找不回来。
2023-08-04 10:30 · 北京
回复
用户头像
这不是客户端扫二维码登录吗
2023-06-14 17:21 · 上海
回复
用户头像
短信验证码不是更安全?
2023-06-01 08:34 · 广东
回复
YouTube可以搜到一些sms verification code attack教程。一些做密码安全管理的网址,有宣传短信验证的不安全原因。
2023-06-06 14:44 · 山东
回复
没有更多了
发现更多内容

机器学习项目是如何开发和部署的?

陆道峰

人工智能 学习

团队与领导力健康检查 | 体检表

Bob Jiang

团队建设

重学 Java 设计模式:实战原型模式

小傅哥

Java 设计模式 小傅哥 复杂代码优化 重构

python实现·十大排序算法之基数排序(Radix Sort)

南风以南

Python 排序算法 基数排序

券商也“网红”,证券行业IT服务运维发展按下“快进键”

博睿数据

运维 APM 证券 券商 行情

原创 | 使用JUnit、AssertJ和Mockito编写单元测试和实践TDD (十一)JUnit概述

编程道与术

Java 编程 软件测试 TDD 单元测试

前端工程化之创建项目

春生

大前端 全栈工程师

最香远程开发解决方案!手把手教你配置VS Code远程开发工具,工作效率提升N倍

程序员柠檬

Linux 后台开发 vscode 后端

为什么要学习 Markdown?究竟有什么用?

JackTian

markdown markdown语法 markdown编辑器

这场大数据+AI Meetup,一次性安排了大数据当下热门话题

Apache Flink

大数据 flink 流计算 实时计算

写给产品经理的信(5):谈谈项目管理(青铜-王者)

punkboy

产品 极客时间,项目管理 项目管理 产品经理 项目

写代码没几天,遇到一堆报错,我该怎么办

刘早起😶

Python 程序员 程序人生

地铁上看书的老外引发的思考

小天同学

写作 读书 个人感想 日常思考

做好领路人——写给技术新人的导师建议

南方

管理 新人

为什么第三方联调应该先行?

大伟

Server Queue 提高 QPS

风含叶

Python kafka 后端 队列

GitHub 上十个好用的软件

彭宏豪95

GitHub 效率 工具

关于软件测试的三点思考

卓然

软件测试 测试 测试的价值 联现技术咖

如何设计数据中台

数据社

大数据 数据中台 数据仓库

如何通过样本数据推断其分布

张利东

Python

自定义列表样式

寇云

CSS css3

一款开源且具有交互视图界面的实时 Web 日志分析工具!

JackTian

开源 GoAccess 实时 Web 日志分析工具 交互式查看器

git | IDEA 中如何压缩提交(压缩commit后再push 图文演示)

YoungZY

开发者工具 IDEA 开发工具

互联网省份数据大揭秘,看看哪些地方是互联网的戈壁滩?

非著名程序员

程序员 互联网 IT

自定义构造python白名单__builtins__

么么哒

Python

只用CSS实现响应式Full-Width img 2种方法

寇云

CSS css3

HTML中实现合并单元格

JDoe

html

Python deepcopy一个优化

么么哒

Python

纯CSS“返回顶部”特效

寇云

CSS css3

偏头疼告诉我的,我想告诉每一个人

zkback

“新基建”方兴未艾,Smartbi Mining如何为产业数字化转型赋能?

infoq小陈

谷歌正推出Passkey,密码将成历史_安全_Sergio De Simone_InfoQ精选文章