尽管自文字出现伊始就被广泛使用,作为验证我们可以信任的人的方式,但 passwords 显然不是实现这一目标的好方法。
passwords 容易在多方面受到攻击。它们可以被盗取、遗失、泄露,可以被攻击者重置,此外,它们也可能被猜测或遗忘 - 后两者正是某些非常可预测的人为行为所导致的结果。
在认证 (即证明你是你所说的那个人) 方面,任何人或任何系统通常会要求你提供以下三大要素:
你知道的 (如密码或 PIN 码)- 通常是最弱的认证方式
你拥有的 (如智能手机)- 更难被获取
你是什么 (如生物特征)- 同样难以复制
“你知道的”这种方式需要记忆力。记住所有密码非常困难,各种密码要求也没有让情况变得更好:必须超过 n 个字符、包含大小写字母、数字和特殊字符等。这导致人们重复使用密码、设置简单密码,并最终忘记密码。
相比之下,“你拥有的”和“你是什么”这两种方式相对更易用。
Passkeys 并非是一个全新的概念 - 它们是一种存在几十年的认证方式的重新发明:公钥加密。
每个 Passkey 由两部分组成:公钥和私钥。
公钥对所有人开放,但它只是证明身份所需的一半。私钥存储在你的设备上,不应向任何人透露。
这两个密钥用于以下流程中证明你的身份:
尝试登录网页或应用时,你的设备发送公钥,唯一标识你是试图登录的用户。
然后,网站会向你的设备发送一个挑战。该挑战被加密,只有你的私钥才能解密。
如果你的私钥可以解密挑战,就证明了你是你所声称的那个人。
这种方法的巧妙之处在于私钥不会明文传输,因此它不会被强取或被黑客截获。
当前有一些 Passkey 提供商,包括谷歌、苹果、Bitwarden 等。一些主要网站如谷歌、TikTok、GitHub 也已经开始提供它作为一种认证选项。
Passkeys 可能需要一段时间才能被广泛采用,但它代表了登录认证技术的重大进步,预计在未来几年内将逐步取代传统的密码系统。 来自:https://medium.com/@supersimplecyber/passwords-days-are-numbered-here-s-why-e193ee5bd2a9