正在閱讀:

谷歌推廣Passkey被質(zhì)疑,無密碼登錄你敢用嗎?

掃一掃下載界面新聞APP

谷歌推廣Passkey被質(zhì)疑,無密碼登錄你敢用嗎?

Passkey的工作機制,就是在用戶注冊時生成一個新的密鑰對,其中包含一個私鑰和一個公鑰。

三易生活 ·

文|三易生活

在互聯(lián)網(wǎng)中,密碼無疑占據(jù)著十分重要的位置,畢竟它的存在保障了我們在網(wǎng)絡(luò)上資產(chǎn)的安全。盡管密碼對于任何人的重要性都極高,但奈何總有人對它漫不經(jīng)心,以至于“123456”幾乎年年都榮登年度最弱密碼的稱號。為此,谷歌等科技巨頭聯(lián)手搞了個“無密碼”生態(tài),目前谷歌也正在積極鼓勵用戶為賬號設(shè)置Passkey(通行密鑰)功能,以實現(xiàn)“淘汰密碼”的目標(biāo)。

然而曾經(jīng)為谷歌提供咨詢服務(wù)的技術(shù)專家Lauren Weinstein,近日卻發(fā)文強烈批評他們推廣Passkey的行為,并表示Passkey本身確實沒有問題,但Passkey的中間認證環(huán)節(jié)卻有著不可忽視的安全隱患。據(jù)悉,Lauren Weinstein在相關(guān)文章中表示,如果在酒吧里有人偷窺你輸入的設(shè)備密碼、然后借機偷走你的手機,這樣解鎖手機后就可以使用所有保存的Passkey。

想要了解為什么會有人認為Passkey不安全,首先自然需要了解Passkey到底是如何工作的。

密碼作為一種安全防護手段,在信息技術(shù)逐步走向成熟的今天,如今已面臨著失去效用的風(fēng)險。無論互聯(lián)網(wǎng)廠商如何苦心孤詣地勸導(dǎo)用戶使用更復(fù)雜的密碼,比如要求密碼需要包含大小寫英文字母、數(shù)字、字符,但密碼被攻破的現(xiàn)象依舊層出不窮。

在算力成倍增加的情況下,現(xiàn)在就連大型企業(yè)也同樣無法避免被黑客攻擊,而互聯(lián)網(wǎng)企業(yè)的數(shù)據(jù)庫被攻破,進而導(dǎo)致大規(guī)模信息泄露的案例在過去十年間可以說是屢見不鮮。有鑒于此,尋求一個代替密碼來完成對用戶身份鑒權(quán)的工具,也成為了科技巨頭們的一致期望。由于密碼是一個證明“我是我”的工具,而要證明“我是我”其實并非只能依賴密碼,指紋、虹膜等生物特質(zhì),以及U盾等實體設(shè)備就都可以實現(xiàn)。

谷歌的Passkey就是一個由一組密鑰組成的登錄驗證文件,用戶在注冊Passkey后,只需輸入自己的賬戶,然后使用手機或電腦的各種認證選項(如PIN碼、指紋、面部識別等)即可登錄,并且基于FIDO 2/WebAuthn標(biāo)準(zhǔn)的Passkey還支持跨平臺使用。讓而FIDO2則是由兩個開放標(biāo)準(zhǔn)構(gòu)建,分別是FIDO客戶端身份驗證協(xié)議(CTAP)和W3C標(biāo)準(zhǔn)WebAuthn。

簡單來說,就是WebAuthn定義了一個標(biāo)準(zhǔn)的web API,并提供一個創(chuàng)建和管理公鑰憑證的接口,可以與身份驗證驗證器通信。

Passkey的工作機制,就是在用戶注冊時生成一個新的密鑰對,其中包含一個私鑰和一個公鑰。私鑰會存儲在設(shè)備上,并與在線服務(wù)的ID和域關(guān)聯(lián),而公鑰則存儲在谷歌服務(wù)器的在線服務(wù)數(shù)據(jù)庫中,當(dāng)用戶試圖訪問在線服務(wù)時,谷歌就會使用API與身份驗證者一起驗證用戶憑據(jù)。

問題就出在了這里,Passkey的本質(zhì)是使用用戶手機的指紋、面容,或Windows Hello驗證、密碼管理器,來代替谷歌賬號的密碼。那么如果作為中間介質(zhì)的手機和PC本身就不安全呢?其實這并非杞人憂天,畢竟手機感染惡意軟件、PC被木馬攻擊可以說是司空見慣的事情。

如果手機本身真的無懈可擊,谷歌又為什么會為Android系統(tǒng)推出月度安全補丁,甚至要求手機廠商必須經(jīng)常為智能手機推送安全更新呢。

而Passkey的另外一個問題,就是一旦Passkey本身丟失,將會導(dǎo)致用戶被谷歌服務(wù)拒之門外。

根據(jù)谷歌方面的說法, Passkey在Windows、Android、iOS上是不能轉(zhuǎn)移、修改和讀取的,也就是說一旦生成,這個Passkey就會綁定在對應(yīng)的設(shè)備上,如果重裝系統(tǒng)就需要重新生成并綁定Passkey。然而,并非所有的用戶在創(chuàng)建Passkey時都會設(shè)置備用方案,那么一旦重裝系統(tǒng)或丟失手機后沒有了Passkey,就會出現(xiàn)無法訪問賬戶的情況,并且谷歌也無法提供額外的賬戶恢復(fù)辦法。

有這樣的擔(dān)憂其實也很正常,畢竟確實有大量的用戶還在使用著“123456”或“password”來作為密碼。不過即便有一定的風(fēng)險存在,Passkey的推廣也相當(dāng)有意義。因為現(xiàn)在的情況是在谷歌數(shù)以億計的用戶中,使用弱密碼、并且在各種服務(wù)中使用同一套密碼的現(xiàn)象過于泛濫,而Passkey在淘汰密碼這件事上的重要性幾乎無可替代。

或許在谷歌看來,淘汰已經(jīng)落后于時代的傳統(tǒng)密碼所帶來的收益,要遠比Passkey可能存在的安全風(fēng)險和用戶使用體驗下降帶來的損失大得多。而且一旦Passkey迎來普及,用戶因為弱密碼而導(dǎo)致的個人隱私和財產(chǎn)損失就會大幅減少,所以完全沒有必要因噎廢食。

本文為轉(zhuǎn)載內(nèi)容,授權(quán)事宜請聯(lián)系原著作權(quán)人。

谷歌

6.7k
  • 日本監(jiān)管機構(gòu)擬以涉嫌壟斷為由勒令谷歌整改,公司回應(yīng)
  • 日本據(jù)悉將認定谷歌網(wǎng)絡(luò)搜索服務(wù)違反反壟斷法

評論

暫無評論哦,快來評價一下吧!

下載界面新聞

微信公眾號

微博

谷歌推廣Passkey被質(zhì)疑,無密碼登錄你敢用嗎?

Passkey的工作機制,就是在用戶注冊時生成一個新的密鑰對,其中包含一個私鑰和一個公鑰。

三易生活 · 2023/10/12 20:58

文|三易生活

在互聯(lián)網(wǎng)中,密碼無疑占據(jù)著十分重要的位置,畢竟它的存在保障了我們在網(wǎng)絡(luò)上資產(chǎn)的安全。盡管密碼對于任何人的重要性都極高,但奈何總有人對它漫不經(jīng)心,以至于“123456”幾乎年年都榮登年度最弱密碼的稱號。為此,谷歌等科技巨頭聯(lián)手搞了個“無密碼”生態(tài),目前谷歌也正在積極鼓勵用戶為賬號設(shè)置Passkey(通行密鑰)功能,以實現(xiàn)“淘汰密碼”的目標(biāo)。

然而曾經(jīng)為谷歌提供咨詢服務(wù)的技術(shù)專家Lauren Weinstein,近日卻發(fā)文強烈批評他們推廣Passkey的行為,并表示Passkey本身確實沒有問題,但Passkey的中間認證環(huán)節(jié)卻有著不可忽視的安全隱患。據(jù)悉,Lauren Weinstein在相關(guān)文章中表示,如果在酒吧里有人偷窺你輸入的設(shè)備密碼、然后借機偷走你的手機,這樣解鎖手機后就可以使用所有保存的Passkey。

想要了解為什么會有人認為Passkey不安全,首先自然需要了解Passkey到底是如何工作的。

密碼作為一種安全防護手段,在信息技術(shù)逐步走向成熟的今天,如今已面臨著失去效用的風(fēng)險。無論互聯(lián)網(wǎng)廠商如何苦心孤詣地勸導(dǎo)用戶使用更復(fù)雜的密碼,比如要求密碼需要包含大小寫英文字母、數(shù)字、字符,但密碼被攻破的現(xiàn)象依舊層出不窮。

在算力成倍增加的情況下,現(xiàn)在就連大型企業(yè)也同樣無法避免被黑客攻擊,而互聯(lián)網(wǎng)企業(yè)的數(shù)據(jù)庫被攻破,進而導(dǎo)致大規(guī)模信息泄露的案例在過去十年間可以說是屢見不鮮。有鑒于此,尋求一個代替密碼來完成對用戶身份鑒權(quán)的工具,也成為了科技巨頭們的一致期望。由于密碼是一個證明“我是我”的工具,而要證明“我是我”其實并非只能依賴密碼,指紋、虹膜等生物特質(zhì),以及U盾等實體設(shè)備就都可以實現(xiàn)。

谷歌的Passkey就是一個由一組密鑰組成的登錄驗證文件,用戶在注冊Passkey后,只需輸入自己的賬戶,然后使用手機或電腦的各種認證選項(如PIN碼、指紋、面部識別等)即可登錄,并且基于FIDO 2/WebAuthn標(biāo)準(zhǔn)的Passkey還支持跨平臺使用。讓而FIDO2則是由兩個開放標(biāo)準(zhǔn)構(gòu)建,分別是FIDO客戶端身份驗證協(xié)議(CTAP)和W3C標(biāo)準(zhǔn)WebAuthn。

簡單來說,就是WebAuthn定義了一個標(biāo)準(zhǔn)的web API,并提供一個創(chuàng)建和管理公鑰憑證的接口,可以與身份驗證驗證器通信。

Passkey的工作機制,就是在用戶注冊時生成一個新的密鑰對,其中包含一個私鑰和一個公鑰。私鑰會存儲在設(shè)備上,并與在線服務(wù)的ID和域關(guān)聯(lián),而公鑰則存儲在谷歌服務(wù)器的在線服務(wù)數(shù)據(jù)庫中,當(dāng)用戶試圖訪問在線服務(wù)時,谷歌就會使用API與身份驗證者一起驗證用戶憑據(jù)。

問題就出在了這里,Passkey的本質(zhì)是使用用戶手機的指紋、面容,或Windows Hello驗證、密碼管理器,來代替谷歌賬號的密碼。那么如果作為中間介質(zhì)的手機和PC本身就不安全呢?其實這并非杞人憂天,畢竟手機感染惡意軟件、PC被木馬攻擊可以說是司空見慣的事情。

如果手機本身真的無懈可擊,谷歌又為什么會為Android系統(tǒng)推出月度安全補丁,甚至要求手機廠商必須經(jīng)常為智能手機推送安全更新呢。

而Passkey的另外一個問題,就是一旦Passkey本身丟失,將會導(dǎo)致用戶被谷歌服務(wù)拒之門外。

根據(jù)谷歌方面的說法, Passkey在Windows、Android、iOS上是不能轉(zhuǎn)移、修改和讀取的,也就是說一旦生成,這個Passkey就會綁定在對應(yīng)的設(shè)備上,如果重裝系統(tǒng)就需要重新生成并綁定Passkey。然而,并非所有的用戶在創(chuàng)建Passkey時都會設(shè)置備用方案,那么一旦重裝系統(tǒng)或丟失手機后沒有了Passkey,就會出現(xiàn)無法訪問賬戶的情況,并且谷歌也無法提供額外的賬戶恢復(fù)辦法。

有這樣的擔(dān)憂其實也很正常,畢竟確實有大量的用戶還在使用著“123456”或“password”來作為密碼。不過即便有一定的風(fēng)險存在,Passkey的推廣也相當(dāng)有意義。因為現(xiàn)在的情況是在谷歌數(shù)以億計的用戶中,使用弱密碼、并且在各種服務(wù)中使用同一套密碼的現(xiàn)象過于泛濫,而Passkey在淘汰密碼這件事上的重要性幾乎無可替代。

或許在谷歌看來,淘汰已經(jīng)落后于時代的傳統(tǒng)密碼所帶來的收益,要遠比Passkey可能存在的安全風(fēng)險和用戶使用體驗下降帶來的損失大得多。而且一旦Passkey迎來普及,用戶因為弱密碼而導(dǎo)致的個人隱私和財產(chǎn)損失就會大幅減少,所以完全沒有必要因噎廢食。

本文為轉(zhuǎn)載內(nèi)容,授權(quán)事宜請聯(lián)系原著作權(quán)人。