在今年的世界密码日(5月4日)前夕,谷歌宣布一项重大举措,允许其个人账户持有人使用被称为“Passkey”的FIDO(Fast IDentity Online,线上快速身份验证)密钥替代密码(Password)进行登录。
谷歌计划在未来几个月推广Passkey,并敦促账户持有人将传统的用户名和密码登录转换为该密钥。启用密钥后,用户可以使用本地PIN码或指纹、面部识别等认证取代传统的密码和其他登录系统,如2FA(双因素身份验证)和短信验证。这些生物识别数据不会与谷歌或任何其他第三方共享,并且密钥只存在于用户设备上。新的密钥提供了更高的安全性和保护性,“无密码”方式也使得网络钓鱼攻击无处下手。
谷歌认为,一旦人们习惯了密钥,他们就会更喜欢密钥,并且发现它比密码更容易管理。
密钥登录或成趋势
FIDO是一种在线验证用户身份的技术规范,由FIDO联盟行业协会开发,该协议是在线与数码验证方面的首个开放行业标准,可提高安全性、保护隐私并简化用户体验。
自FIDO联盟公开发布密钥协议以来,拥有世界上最大消费者操作系统的几大巨头,微软、谷歌和苹果已经推出了支持密钥必要的基础设施,目前Windows设备、iPhone、OPPO和华为手机等也都支持这种验证方案。PayPal、Shopify、CVS Health、Kayak和Hyatt等服务商也已经开始尝试密钥登录。
“我们对谷歌的声明感到非常兴奋,因为谷歌的规模和实施力度极大地推动了密钥的采用,基本上使任何谷歌账户持有人都可以使用密钥。”FIDO联盟执行董事安德鲁·希基亚尔(Andrew Shikiar)表示,“这一实施将为其他服务提供商树立一个很好的榜样,并将成为加速采用密钥的转折点。”
谷歌密钥支持意味着用户不需要费力地记住冗长的密码,也不需要短信验证码来登录。
谷歌计划提供Passkey作为用户帐户的登录选项,并进行大力推广,逐步替代密码登录。“我们不希望供应商或开发商只针对iOS或Android推出密钥,这不是密钥的工作原理。密钥是无处不在的。”谷歌身份与安全产品经理、FIDO2技术工作组联合主席克里斯蒂安·布兰德(Christiaan Brand)表示,“所以对我们来说,在发布当天覆盖尽可能多的设备是非常重要的。”
目前,用户已经可以使用指纹或面部扫描等生物识别传感器、智能手机的设备锁定密码或YubiKeys等加密狗(一种加密产品)来登录谷歌帐户。用户将被引导至创建密钥的链接,使用用户名、密码和其他身份验证方式进行登录,然后在其正在使用的设备上单击“+创建Passkey”按钮。
Passkeys可以通过端到端加密服务,如谷歌Password Manager和iCloud Keychain,并在用户设备之间同步。用户也可以选择在多台设备上设置密钥,只需要在已经登录谷歌账户的设备上生成二维码,然后在想登录的另一台设备上再次生成二维码。
希望完全拥抱“无密码”
布兰德表示,在对数千名用户进行的早期测试中,使用Passkey登录的成功率已经高于传统的密码登录方式。但漏洞可能依旧存在,谷歌表示,希望尽可能多地发现并解决这些问题,这样规模较小的组织就可以更有信心地部署Passkey。
“我们有机会改变用户对登录的看法。”布兰德说,“希望消费者开始习惯这项技术,同时也向业界发出信号,表明我们不只是在谈论这个东西,对密钥的应用早已水到渠成了。”
科技媒体The Verge预测,谷歌似乎计划最终完全过渡到Passkey登录方式,但在可预见的未来,谷歌帐户将继续保持现有的登录方法,如密码,以支持目前无法使用生物识别认证设备的用户进行过渡,但谷歌鼓励用户现在就进行切换,以此希望Passkey为更多人所熟知。
谷歌表示,即使用户的账户创建了Passkey,传统用户名和密码登录也不会消失,如果用户愿意,仍然可以使用密码登录。但谷歌认为,一旦人们习惯了密钥,他们就会更喜欢密钥,并且发现它比密码更容易管理。一旦用户在设备上设置了一个Passkey,谷歌就会自动检测到它,并提示用户以这种方式登录。
去年12月,谷歌的Chrome浏览器已经获得了对Passkey的支持,但支持Passkey的网站和服务仍然相对较少。这使得目前还很难完全实现免密码。
密码管理工具1Password创建了一个页面,显示哪些网站和服务支持Passkey,并表示希望像谷歌这样的公司更全面地拥抱无密码的未来,使得FIDO身份验证技术被更广泛地采用。《连线》报道称,考虑到谷歌的资源和庞大的规模,为谷歌用户推出的密钥尤其值得注意。
(来源:澎湃新闻)
[ 编辑: 彭忠粤 ]