The future is passwordless:未来是无密码的

原始链接在: The future is passwordless:未来是无密码的 - 小众软件

Passkeys 越来越近了。


昨天,著名的密码管理器 1Password 发布消息带来了桌面浏览器和 iOS 的 Passkeys 支持。

Passkeys 是一个由公钥和私钥组成的验证系统,它能够让你像解锁手机一样登录网站、APP,或者其他在线服务。

它不需要密码、不需要二次验证码、不需要短信验证码、也不需要邮件验证码,什么都不需要。

只需要点一下,剩下的,将由 1Password 和服务商之间完成。

所以,你不会被钓鱼(登录假的网站)、不会丢失/忘记密码(没有密码)、不需要短信、邮件支持。

来看 1P 自己的视频:

当然,你不能丢了你的 1Password 账号本身,以及稍后 Android 版本也会支持。

passkeys还有一个致命问题,不同平台同步依赖额外的设备或者app,太不方便。传统密码使用的是人脑这个泛用型最强的通用接口。

在没有系统级普遍支持的情况下,passkey只能作为一个增强安全性的可选方案。

这是为不支持 Passkeys 的服务商添加 Passkeys 登录?
1Password 和 服务商 之间是怎么对接的?

看到什么都不需要这种宣传,有点担心连账号主人的知情同意都不需要
这段时间 steam 的创意工坊出了“盗号木马”
据我了解原理就是复制登陆状态,在号主不知情的情况下把账号内的卡牌道具通过交易市场套现到黑客手里

目前几个支持passkeys的都要求设置密码,可以把passkeys暂时当作本地设备的pin了,不是第一首先,但是用起来又方便又不容易泄漏。(ps:感觉国内不太会跟进这个东西,毕竟现在国内是扫码的时代)

从口令码转换到设备码,实现原理几乎注定依赖系统或者第三方的实现,意味着在新设备登录时需要经过一番折腾,而这种模式同时意味着必定依赖统一的云服务,事实上引入了各种风险。

此外,从使用场景上非常依赖“常用设备”这个概念,造成的结果就是需要把所有登录设备变成私人设备,赋予相当高的使用权限。而不是像以往登录口令那样,只需要针对特定的服务实现登录和注销。如果将来的时代注定是移动互联网一样,每个人都以私人设备链接,那这种思路是量身定制,反之就是自讨没趣。

至于泄露造成的一系列后续问题,目前尚未经过大规模的检验,相关流程是否妥当方便留待观察。

1 Like

1p 解决同步问题

像解锁手机一样登录账号,需要passkey才能登录不会被盗啊

保存在1p或者硬件中。

第二个就…再说吧

这种是不是就造成了对1P的强依赖关系,以后可能会被1P任意宰割。

目前 iCloud、原生 Android 都已经支持了,你可以测试一下:

说不定自带了。

宁可麻烦一点儿 也不能把密码的控制权完全给第三方 否则 你根本不会知道 别人用你的账号干了啥。

坚持keepass不动摇,再也不想折腾了

逻辑上这种免密码登录都是不安全的。因为一定要在人脑之外的某个地方纪录用于登录的凭证。如果说减少打扰,在输入密码一个小时之内不用再次输入密码,这倒是可以考虑。如果说可以长期不再输入密码,我很怀疑这些机制的安全性。

不要说是依靠某些加密硬件。最近牙膏厂和农企的那个 TPM 都已经暴出漏洞出来了。这个月还有一个是微星主板的 BIOS KEY 泄密了。说是可以用那个 KEY 往 UEFI 里面植入代码。

Passkey能做到的可能应该描述为“减少对于用途来说显得过于严苛的安全验证,从而降低最高权限的安全口令的暴露次数”,与人脸支付、QQ邮箱独立密码等处于同一级别,(在设计完善的情况下)它并不会更安全。同时就像你后面说的,这是一个设备相关的设计。
当然,未来Passkeys足够流行之后,厂商如果不怕损失用户可以选择设计不完善的密保流程,类似你的手机号丢了就无法取回账号的情况,提升passkey的权限,使passkey成为新版本的密码。

了解过 passkeys 的原理,所以更迷糊了
对于原生支持的服务商,我不需要中间再加一个 1Password
对于不支持的服务商,它怎么实现 passkeys 登录?

不支持就用密码啊

感觉评论区各位对于这个技术理解偏差很大
首先各平台早就不信任密码登录了,除非是常用设备和地区ip,不然你登录一个新设备看是不是要邮箱/短信验证码做验证,通过验证后会返回token作为凭证,我们日常的权鉴都是传输token
passkeys也一样的,首次获取设备信任需要验证的,验证通过以后作为可信设备可以授权其他登录,主要改变就是首次登录授权不要密码,但肯定需要短信/邮箱动态码之类。

其实大家用的各种扫码登录网页,微信电脑端点登录,手机端点确认,都一样的东西,早都告别密码了,这些授权操作都不用密码,只不过之前是各家都没有一个标准,各玩各的授权系统,现在给出了一个技术标准而已

passkeys也需要授权服务器,需要网站主动支持,1password支持了,第三方不接入1passkey那1password单方面支持没卵用,目前发起passkeys的三巨头目前都不能互通,更别说其他的了,即便passkeys流行,也并不会统一账号密码体系,依然各玩各的授权体系

4 Likes

挺搞笑的新闻
密码不安全是因为偷密码的多吗?
那么如果整个验证生态放弃密码转而普及指纹,之后偷指纹也就越来越多,你可以想想甚至有人会在酒吧,超市,栏杆上大量随机收集指纹做破解。
然后过两年指纹也就不再安全了。
最后呢?难道大家再换回密码放弃指纹?

无路如何你最后总是需要一个基于人体的钥匙对不对?
密码是可以改的,指纹和虹膜泄露了你能改吗?
到底哪个更不安全