写点什么

谷歌正推出 Passkey,密码将成历史

  • 2023-05-31
    北京
  • 本文字数:1148 字

    阅读完需:约 4 分钟

谷歌正推出Passkey,密码将成历史

谷歌已经开始在所有主要平台的谷歌账户上提供Passkey支持。Passkey 将作为现有机制(包括密码、两步认证等)的附加身份验证选项提供。

 

按照谷歌的说法,Passkey 为用户提供了一种更简单、更安全的认证方式。

 

Passkey 允许用户像解锁设备一样登录应用和网站:通过指纹、面部扫描或屏幕锁定 PIN 码。而且,与密码不同,Passkey 可以抵御网络钓鱼等在线攻击,这使得它们比一次性短信验证码更安全。

 

对于用户来说,密码是出了名的难以管理,他们需要创建并记住大量的强密码,而且要为他们使用的每个服务都设定不同的密码。事实上,尽管密码可能很强大,但它们并不能保护用户免受网络钓鱼攻击的侵害,并且越来越频繁地与另一种机制——双因素身份验证(2FA)——搭配使用,而这种机制也有自身的缺点。

 

在底层,Passkey 是存储在用户设备上的加密私钥,而对应的公钥则上传到谷歌。当用户试图使用 Passkey 登录谷歌时,谷歌将要求他们的设备使用私钥签署挑战书(sign a challenge)。

 

这个签名向我们证明了设备是你的,因为它有私钥,是你在设备上解锁它,而你确实是在尝试登录谷歌,而不是一些中间网络钓鱼站点。

 

用户只有在解锁了设备的情况下才能签署挑战书,这一步可以利用许多设备都提供的先进的生物识别硬件,包括指纹和面部识别。或者,用户可以使用更传统的 PIN 码。根据谷歌的说法,任何生物特征数据都不会在签名设备之外共享,签名设备只会发送公钥和签名。

 

谷歌还提供了一种机制,让你可以借助自己的手机在另一台设备上登录。当你需要从共享设备上访问自己的账户时,这一点至关重要。在这种情况下,设备将首先使用蓝牙检查手机是否在附近,然后它会显示一个 QR 码,如果用户要授权,就可以用手机进行扫描并用它生成一次性密码签名。这个新设备既不会收到 Passkey,也不会接收到任何生物特征信息。

 

密钥驻留在个人设备上,每个设备都需要获得自己的 Passkey,这可能会很麻烦。为了规避这个问题,你可以在所有设备上共享 Passkey。谷歌并没有为此提供一种通用的机制,但用户可以依靠苹果设备上的 iCloud Keychain,以及 Android 和 Chrome 设备上的谷歌密码管理器来获得完美的体验。遗憾的是,除非使用第三方 SSH 密钥管理器,否则不能在 iPhone 和 Android 设备之间共享 Passkey。值得注意的是,微软官方尚未提供一个可以跨 Windows 设备共享秘密的解决方案。

 

要为自己的谷歌帐户创建一个 Passkey,目前你需要使用一个专用域

 

去年,谷歌一直在与苹果和微软合作,制定标准的方法,其中包括可以在全行业采用的无密码认证方法FIDOW3C WebAuthn

 

声明:本文为 InfoQ 翻译,未经许可禁止转载。

 

原文链接:

https://www.infoq.com/news/2023/05/google-passkeys-rollout/


延伸阅读:

AI 开始抢黑客饭碗?攻击快又准,不到一分钟破解超过半数的密码

让部署更快更安全,GitHub 无密码部署现已上线

2023-05-31 18:2416336

评论 4 条评论

发布
用户头像
有了这个登录,我就再也找不回密码了,完全忘了哈哈;顺便吐槽fb的账号找回真的拉胯,有邮箱都找不回来。
2023-08-04 10:30 · 北京
回复
用户头像
这不是客户端扫二维码登录吗
2023-06-14 17:21 · 上海
回复
用户头像
短信验证码不是更安全?
2023-06-01 08:34 · 广东
回复
YouTube可以搜到一些sms verification code attack教程。一些做密码安全管理的网址,有宣传短信验证的不安全原因。
2023-06-06 14:44 · 山东
回复
没有更多了
发现更多内容

react源码解析2.react的设计理念

buchila11

React React Hooks

做到这4点,才是真正的持续交付| 研发效能提升36计

阿里云云效

阿里云 云原生 持续交付 云平台 研发

有了堡垒机,运维工程师们不再是背锅侠啦!

行云管家

恒业资本江一:ToB长期主义不是经营无能的遮羞布

ToB行业头条

阿里巴巴移动技术 2021 年终盘点

阿里巴巴终端技术

ios android 客户端 移动应用开发 年终盘点

构建制品不一致,后续工作都是白费 | 研发效能提升36计

阿里云云效

阿里云 云原生 持续交付 云平台 研发

DDD[1]·区分系统与业务行为

陆乘风

领域驱动设计 领域驱动设计DDD 领域驱动

11亿条数据压缩到12GB,TDengine在陕煤矿山项目的落地实践

TDengine

数据库 大数据 tdengine 开源 物联网

国内堡垒机品牌你给推荐哪款?我推荐行云管家!

行云管家

效能时代,数栈专属DevOps跑出加速度

袋鼠云数栈

DevOps 智能运维

恒源云(GPUSHARE)_可构建AI的「AI」诞生?

恒源云

神经网络 深度学习

跨站脚本攻击xss利用-beef攻击-演示

喀拉峻

网络安全 XSS

C#中的数据字典Dictionary

Andy阿辉

C# 程序员 程序人生 2月日更

TiDB 在国信证券海量数据高并发场景中的实践

陈培新

TiDB

使用craco对cra项目进行构建优化

CRMEB

无障碍读屏出错了

admin

小程序 性能优化 瀑布流 relations 无障碍

字节、阿里等大厂的技术如何?看看这些Java程序员的自学笔记

进击的王小二

程序员 面试

ClickHouse 在UBA系统中的字典编码优化实践

字节跳动数据平台

大数据 字节跳动 Clickhouse 用户行为分析

我的云原生学习方法 | 社区征文

大菠萝

新春征文

Spring Boot Serverless 实战系列 | 性能调优

Serverless Devs

springboot Java web 2月月更

微信朋友圈高性能复杂度分析

王大胖

网络安全kali渗透学习 web渗透入门 Google搜索引擎的使用技巧

学神来啦

Web Components系列(三) —— 创建 Custom Elements

编程三昧

前端 组件化 2月月更 WebContents

BIGO 使用 Flink 做 OLAP 分析及实时数仓的实践和优化

Apache Flink

大数据 flink 编程 后端 实时计算

Swagger通过拦截器(Interceptor)配置默认请求头

为自己带盐

swagger 2月月更

高性能系统开发的几个手段

漫游指南

性能优化

APICloud AVM框架列表组件list-view的使用、flex布局教程

YonBuilder低代码开发平台

前端开发 前端框架 APP开发 APICloud 跨端开发

如何提升本地开发联调效率|阿里巴巴DevOps实践指南

阿里云云效

阿里云 DevOps 云原生 研发 本地开发

SAP 移动开发技术综述 | 社区征文

汪子熙

android 移动开发 cordova 新春征文 2月月更

云端开发在阿里的典型应用场景 | 阿里巴巴DevOps实践指南

阿里云云效

阿里云 云原生 云平台 研发工具 云端开发

AI+Science:基于飞桨的AlphaFold2,带你入门蛋白质结构预测

百度大脑

谷歌正推出Passkey,密码将成历史_安全_Sergio De Simone_InfoQ精选文章