「密码」被革命了?Google、Apple、微软接连准备取消登录密码,使用更简单、更安全的密码替代方案:无密码技术

原始链接在: https://www.appinn.com/passwordless-passkeys/

这两天有两个关于密码的消息:

  1. 密码管理器 Dashlane 宣布准备消除你必须记住的唯一主密码,转而使用基于设备/生物识别的无密码登录解决方案。
  2. Google Passkey(通行密钥)发布,使用指纹、面孔、屏锁方式或实体安全密钥安全地登录。

结合之前:

越来越多的服务开始或正在准备支持无密码技术,可以遇见的未来,密码肯定会被替代。也可以说是密码的下一代技术,让「在线密码泄漏」这件事彻底成为过去。

无密码技术是什么?

无密码技术指的是一种可以替代用户账号和密码认证方法的技术,它通过生物识别、多因素认证、基于硬件设备的认证等方法来实现身份验证和授权,以提高账号的安全性和用户体验。无密码技术的出现,可以减少由于密码泄露、用户的疏忽或恶意攻击等因素导致的安全问题。常见的无密码技术包括人脸识别、指纹识别、声纹识别、虹膜识别、生物特征识别等。

无密码技术解决了什么问题?

无密码技术解决的最核心事情,是解决了密码泄漏这件事情。当无密码技术普及之后,再也不会听说谁的密码泄漏,并因此造成了损失。

当然,肯定会有:他的密钥丢了,导致损失 😂

通用密钥是什么?

你的手机

目前的主流方案,在不增加用户成本的情况下,使用用户手机作为密钥,即在登录时,必须使用指定的手机来解锁账号,包括微软、苹果、Google 在内都支持此方案。

FIDO 设备

另一种方案,需要购买 FIDO 设备,即一个硬件设备,它可以用来验证用户身份,一般通过 USB 或 NFC 与电脑、手机相连接。一个 FIDO 设备可以绑定多个账号,对用户来说相当于一次性投入,终身使用。

但问题是它可能会丢,所以如 Google、Apple 都建议(一些情况下强制)用户准备两个 FIDO 设备,其中一个备用。如果你的两个 FIDO 都丢了,那可能账号就真的要不回来了。

所以,安全与风险始终都在博弈,就看你自己如何找到平衡了。


以下内容节选自 使用密钥进行无密码登录

通用密钥原理

  • 密钥使用公钥加密。公钥加密可以降低潜在的数据泄露威胁。当用户使用网站或应用创建密钥时,此操作会在用户设备上生成公钥-私钥对。该网站只存储公钥,但仅使用公钥对于攻击者无用。攻击者无法从服务器中存储的数据中获取用户的私钥,而这是完成身份验证所必需的。
  • 由于通行密钥与网站或应用的身份绑定,因此能够抵御钓鱼式攻击。浏览器和操作系统可确保通行密钥只能用于生成通行密钥的网站或应用。这样一来,用户就不必负责登录真实的网站或应用。

与短信、动态密码的区别

只需一个步骤,密钥即可取代密码和第二重身份验证。用户体验就像自动填充密码表单一样简单。与短信或基于应用的动态密码不同,通行密钥有助于防范钓鱼式攻击。由于通行密钥是标准化的,因此单个实现可以在不同的浏览器和操作系统中实现无密码体验。

我该做什么?

  1. 可以趁打折购买一两个 FIDO 设备,逐渐开启自己的无密码时代
  2. 等。各大厂商显然不会放过这个机会,基于手机的通用密钥也会普及开的。

而如果要购买 FIDO 设备,可以搜索 YubicoFEITIAN,这两个品牌都还不错,青小蛙在某个机缘巧合之下团购了 FEITIAN,用起来还算方便,但国内服务支持的极少。

当然,如果这样,这些都不重要

  1. “我不会接触到敏感信息,所以我不需要担心安全问题。”
  2. “我的电脑杀毒软件很强大,我不用担心被攻击。”
  3. “我只是个普通人,没人会对我进行攻击或盗取我的个人信息。”
  4. “我不会在互联网上购物/银行业务,我不需要担心网络安全。”
  5. “我从不访问可疑网站,所以我不需要担心受到网络攻击。”
  6. “我又没什么重要的东西,无所谓安全。“

其实,一个完全没有密码,但安全的互联网,也挺好的。

另外,就是不知道各路密码管理器厂家慌不慌 😂

看了价格,好贵………………

这玩意怎么这么像以前银行搞的U盾,办卡送的那种

FIDO设备。。像是钥匙?但是如果丢了呢。- -

所以要两个…

又在不恰当的地方滥用生物信息识别…… 不知道为什么他们为什么这么有勇气认为有改变就是好的。
我赌10年内Apple和MS可能会回滚这一决定,而Google不会,因为Google和Apple向来嘴硬,错了也不认,但是Google更喜欢说“看,用户都在用,他们喜欢这个”。

至于密钥原本就存储在外部智能卡的用户,允许生物信息作为备选方案无疑是降低安全性。

不过也有可能是这些大厂醉翁之意不在酒,本来就是想让用户降低对账号的控制权、增加预期之外的登录(类似你下错订单却不小心付款的行为),从而可以更好地给用户当爸爸。

我觉得这一波最重要的是解决密码泄漏导致的账号泄漏问题。

所以这下是变成不会泄露只会丢失了? :sweat_smile:

感觉存在的问题有三个:

  1. 设备容易丢
  2. 生物特征比较粗糙,不够精确
  3. 生物特征泄露比密码泄露更严重
1 个赞

收集个人信息,包括生物特征信息

使用 FIDO 的话,就不会被收集。

撇开生态覆盖问题,这也只是转移问题增加便利,没解决根本问题。

  • 丢钥匙(设备)的迁移成本
  • 丢手机改成泄露生物特征
  • 如何解决“把主人锁在门外”问题,没有安全合理的手动绕过或找回手段,那只会变成全自动火葬场。

目前只有 Google 密码管理工具iCloud 钥匙串 可以备份和同步 通行密钥。

通过 手机扫码 可以在桌面设备上使用手机中的通行密钥。

根据 Fido 2 的原理来说,简单讲就是根据密钥设备生成一一对应的密码,然后将此密码设置到用户账户下面,并且用户账户可以添加多个密码。实际上使用的还是密码,并不是生物特征。生物特征算是通行密钥的密码。

通行密钥 完全版本是需要具有本地生物认证载体的。话句话说,就是类似于指纹功能的yubikey,或者是保存到诸如手机、电脑中也需要认证才可以调用。
即使丢失设备,捡到的人也无法通过认证。

经过同步的通行密钥,只需在另一个设备登陆 google 或者 icloud 就可以,即使所有设备丢失完,也可以通过备用码或者亲友认证找回。

多个通行密钥可以同时使用,一般来说同时丢失的可能比较小。

如果非要说的话,窃取生物特征比起掌握密码是更容易的,而且后者更加WYSIWYG,用户感知之后可以立即启动密码保护流程。社会工程学手段早已变得司空见惯,重点防范的对象也在变化。就像电脑病毒,今天要找到一个以炫技为目的而不掺杂任何利益的病毒,已经是很困难的了。

目前由生物特征启用的密钥的优先级尚未与传统因子平级,但是一旦普及率得到提高,这一天就不远了。那个时候它的地位势必会得到提升,成为真正的无密码技术,造成不可挽回的后果。

passkey 其实也就是 指定设备+生物认证 ,难的是同时获取两者。
例如添加 passkey 的手机加开机认证。

其实微软在此之前就已经做了类似的无密码解决方案,微软账号登录时需要在authenticator中确认+手机认证

以前担心密码被盗,现在担心手指和眼球被盗。

要是设备损毁了怎么办

可以添加多个设备 手机上是可以同步 keypass 的