密码的问题

尽管自文字出现伊始就被广泛使用,作为验证我们可以信任的人的方式,但 passwords 显然不是实现这一目标的好方法。

passwords 容易在多方面受到攻击。它们可以被盗取、遗失、泄露,可以被攻击者重置,此外,它们也可能被猜测或遗忘 - 后两者正是某些非常可预测的人为行为所导致的结果。

认证的三大要素

在认证 (即证明你是你所说的那个人) 方面,任何人或任何系统通常会要求你提供以下三大要素:

• 你知道的 (如密码或 PIN 码)- 通常是最弱的认证方式

• 你拥有的 (如智能手机)- 更难被获取

• 你是什么 (如生物特征)- 同样难以复制

密码的可用性差

“你知道的” 这种方式需要记忆力。记住所有密码非常困难,各种密码要求也没有让情况变得更好:必须超过 n 个字符、包含大小写字母、数字和特殊字符等。这导致人们重复使用密码、设置简单密码,并最终忘记密码。

相比之下,“你拥有的” 和 “你是什么” 这两种方式相对更易用。

Passkeys 解决方案

Passkeys 并非是一个全新的概念 - 它们是一种存在几十年的认证方式的重新发明:公钥加密。

每个 Passkey 由两部分组成:公钥和私钥。

公钥对所有人开放,但它只是证明身份所需的一半。私钥存储在你的设备上,不应向任何人透露。

这两个密钥用于以下流程中证明你的身份:

• 尝试登录网页或应用时,你的设备发送公钥,唯一标识你是试图登录的用户。

• 然后,网站会向你的设备发送一个挑战。该挑战被加密,只有你的私钥才能解密。

• 如果你的私钥可以解密挑战,就证明了你是你所声称的那个人。

这种方法的巧妙之处在于私钥不会明文传输,因此它不会被强取或被黑客截获。

如何开始使用 Passkeys

当前有一些 Passkey 提供商,包括谷歌、苹果、Bitwarden 等。一些主要网站如谷歌、TikTok、GitHub 也已经开始提供它作为一种认证选项。

Passkeys 可能需要一段时间才能被广泛采用,但它代表了登录认证技术的重大进步,预计在未来几年内将逐步取代传统的密码系统。 来自：https://medium.com/@supersimplecyber/passwords-days-are-numbered-here-s-why-e193ee5bd2a9