日前,谷歌宣佈一項重大舉措,允許其個人賬戶持有人使用被稱為“Passkey”的FIDO(Fast IDentity Online,線上快速身份驗證)密鑰替代密碼(Password)進行登錄。
谷歌計劃在未來幾個月推廣Passkey,並敦促賬戶持有人將傳統的用戶名和密碼登錄轉換為該密鑰。啟用密鑰後,用戶可以使用本地PIN碼或指紋、面部識別等認證取代傳統的密碼和其他登錄系統,如2FA(雙因素身份驗證)和短信驗證。
這些生物識別數據不會與谷歌或任何其他第三方共享,並且密鑰只存在於用戶設備上。新的密鑰提供了更高的安全性和保護性,“無密碼”方式也使得網絡釣魚攻擊無處下手。
谷歌密鑰支持意味著用戶不需要費力地記住冗長的密碼,也不需要短信驗證碼來登錄。目前,用戶已經可以使用指紋或面部掃描等生物識別傳感器、智能手機的設備鎖定密碼或YubiKeys等加密狗(一種加密產品)來登錄谷歌帳戶。用戶將被引導至創建密鑰的鏈接,使用用戶名、密碼和其他身份驗證方式進行登錄,然後在其正在使用的設備上單擊“+創建Passkey”按鈕。
谷歌似乎計劃最終完全過渡到Passkey登錄方式,但在可預見的未來,谷歌帳戶將繼續保持現有的登錄方法,如密碼,以支持目前無法使用生物識別認證設備的用戶進行過渡,但谷歌鼓勵用戶現在就進行切換,以此希望Passkey為更多人所熟知。
FIDO是一種在線驗證用戶身份的技術規範,由FIDO聯盟行業協會開發,該協議是在線與數碼驗證方面的首個開放行業標準,可提高安全性、保護隱私並簡化用戶體驗。
自FIDO聯盟公開發布密鑰協議以來,擁有世界上最大消費者操作系統的幾大巨頭,微軟、谷歌和蘋果已經推出了支持密鑰必要的基礎設施,目前Windows設備、iPhone、OPPO和華為手機等也都支持這種驗證方案。PayPal、Shopify、CVS Health、Kayak和Hyatt等服務商也已經開始嘗試密鑰登錄。
不過,對於國內的用戶來說,短期內大家還是要使用賬號密碼+短信驗證碼的形式。因為目前來看,國內還沒有一個類似谷歌這樣的巨頭來推動這項服務。雖然FIDO聯盟在中國大陸早有佈局,但目前來看,想要推動普及是一件非常困難的事情。
以手機為例,由於國內的應用生態以及獨特的使用環境,導致現在大部分的APP還是要通過註冊賬號+綁定手機號的形式來完成登陸。即便是一些支持第三方賬號登陸的應用和服務,很多時候也會要求你綁定手機號,完成短信驗證。
大部分的應用開發商都將用戶資料視作數字資產的一部分,想要繞開用戶的賬號密碼和手機號,直接使用快速身份驗證碼,雖然方便了消費者,但對於他們來說就無法獲取到更多的資料。
我們還是希望國內也儘早推動這類快速身份認證的服務。因為它不僅更加方便,免去了更多的認證和註冊程序,還能夠有效地防止密碼洩露帶來的一系列安全問題。這需要國內的應用廠商、設備商和服務商,包括相關部門、機構聯合起來,共同推動,由衷地希望這一天早點到來。
來源:機智貓