你的 Netflix 密码是什么?那么 Spotify 的是什么?很好...... Facebook 的又是什么?现在希望你不是把它们大声念出来,但可能性是,你要么回忆起了类似或相同的密码,要么因为它们非常复杂而在你的密码管理器里 (无意冒犯,做得好) 而没有回答我的问题。
我不需要成为第一个说密码是我们日常生活的一部分的人。我们不断地使用它们登录我们的账户,创建新账户时创建它们,因为我们忘记了密码而重置它们,被告知你不能用最近使用的密码重置你的密码...... 此列举始终如一。这显然导致了与重用密码和我们存储它们的安全性有关的问题。
啊,密码管理器! 一个很好的方式来管理我们可能意识到或可能没有意识到我们拥有的数百个账户,同时保持心理平静和安全感,拥有独特而且生成复杂的密码。然而,最近的 LastPass 违规行为是一个重大的警钟,并证明我们需要警惕密码存储和保护的方式,即使是在广泛流行的密码管理器上。
Passkeys 现在正在成为注册和登录的一种方式,它们是 FIDO 对无密码未来的最新实现。使用公钥密码术,每个 passkey 都是一对公钥和私钥的密码对,并在您注册支持它的网站时生成。顾名思义,公钥与您注册的服务共享,并存储在其服务器上。私钥留在您的设备上。当您尝试登录时,您正在登录的服务器会将一个挑战发回您的设备。您指定的私钥将解决该挑战,对其进行签名,从而验证您是...您! 服务器可以使用您的公钥进行验证,但不需要知道您的私钥。它们也在您的设备之间同步 (比如苹果的 iCloud 实现),以便如果您丢失或损坏了某个设备,您仍然可以访问您的账户。
与密码管理器的目标类似,Passkeys 消除了钓鱼、社会工程和由于复杂性不足而猜测密码的问题。在公司遭受数据泄露的情况下,您的公钥可能会泄露...但是您的账户仍然安全! 只要您的私钥与您在一起,公钥对攻击者来说就没有价值,就像没有密码的用户名一样 (但这次您的密码不是 “qwerty123”,随后被暴力破解)
如果我们看一下一个流行的密码管理器 Dashlane,他们保证 “零知识加密”。 根据他们的安全原则和架构:
“访问保险库需要用户主密码,该密码仅为帐户持有人所知。 此密码未存储在 Dashlane 的服务器上,Dashlane 员工无法访问。 Dashlane 使用单独的用户设备密钥在其服务器上对每个人进行身份验证。”
这听起来很像我描述的... 因为它们都使用公钥密码术。 Passkeys 与 “主密码” 的区别在于 “主密码” 不是传统密码,而是您的生物识别信息,允许您的私钥被使用。 那么,我们为什么要关心呢?
目前,安全登录账户的方法是使用密码和第二个认证因素。 这可以是 OTP(一次性密码,如短信验证码)、物理安全密钥或身份验证器应用程序。 这可确保登录需要您拥有的内容 (密码) 和拥有的内容 (安全密钥)。
Passkey 在一次步骤中满足这些要求,这简化了用户的登录体验,同时保持高度安全性。 您不必查找密码,然后检查手机的身份验证器应用程序获取二次代码,您可以简单地使用便捷的指纹 (无双关意味),或您的设备支持的任何其他生物识别因素,就像魔法一样... 您已经设置了一种安全的身份验证形式,可以开始使用了。 这不是您的密码的第二个因素,而是您的密码的替代品。
由于每个 Passkey 与特定站点相关联,所以它被称为抗钓鱼,因为您的 Passkey 只能在注册的站点上工作,减少了被欺骗登录到复制站点以窃取您的凭据的担忧。
所以.. Passkey 很棒,因为它们 (和我一起说)..
Passkey 还非常新的,支持它的用户还很少,但在写这篇文章时,GitHub 已经宣布支持!
我非常期待看到 Passkey 的采用,因为它似乎是一个更简单、更安全的登录方式。
如果您还没有,请自己试一试! 我在下面提供了一个链接来测试生成和使用 passkey 的过程:
总而言之,密码往往被重复使用、钓鱼和在数据泄露的事件中脆弱,我们知道这一点。 MFA(多因素身份验证) 有助于防止钓鱼,并通过与您的密码一起使用辅助因素来确保登录得到验证。 然而,Passkeys 通过为我们节省一步,并为您生成一个安全的非对称密钥对,将此推向了一个新的高度。 因此,它允许您使用生物识别信息登录,确保是您本人,并在服务器端遭受泄露的情况下保护您的账户安全。 使用起来比听起来简单得多,我鼓励您在支持的网站或上面我提供的演示链接上尝试一下。
您对 Passkeys 有何看法?请在评论中告诉我,我很想听听您的想法!
来自:https://medium.com/@tokyoishy/passkeys-whats-the-big-deal-618be83c17f4