分享发现 口令管理器该怎样为无口令的未来做好准备

henry.chen · October 25, 2023 · 87 hits

转载自微信公众号:FIDO 国际联盟

2023 年,我们都在更加努力的摆脱易出错的口令。但不远的将来口令管理器将变成什么样子呢,还需不需要口令管理器?

谷歌、苹果、微软···这些巨头正在努力为未来做准备,口令将成为对互联网过于复杂的旧时代的糟糕回忆。但是讽刺的是,口令管理器仍然是无口令未来,不可或缺的一种解决方案。

2023 年,无口令浪潮?

无口令身份认证旨在允许在不使用口令的情况下登录网站和服务。无口令身份认证有可能在 2023 年得到更强劲的发展。在 FIDO 联盟中处于领先地位的科技巨头微软、谷歌和苹果正在尽一切努力确保尽快采用。

每当您想要注册支持该技术的服务时,都要创建一对密钥。服务端获取公钥,私钥存储在您的设备上。当您希望稍后登录该服务时,只需像往常一样使用生物特征、PIN 码等方式解锁设备,然后在设备和网站之间启动身份认证。

当 iOS 16 于 2022 年 9 月发布时,苹果在其 iCloud 钥匙串中公布了 passkeys 的到来。谷歌紧随其后,宣布用户可以在 Android 上注册访问 passkeys,并通过谷歌口令管理器将其与他们拥有的所有 Android 设备同步,前提是他们在每个设备上登录相同的谷歌账户。

例如,如果您需要连接到计算机上的服务,则可以扫描二维码或通过蓝牙验证手机的存在。

一项有前途但尚不完美的技术

在这里,我们开始触及当前问题的核心:由于 passkeys 与设备相关联,即与特定的操作系统相关联,因此保存 passkeys 的设备的存在是绝对必要的。例如,您无法从 Windows 计算机轻松访问存储在 iPhone 上的各种 passkeys。对于每一个这样的 passkey,都必须用手机扫描计算机屏幕上显示的二维码以验证连接。通常,如果可能的话,该服务会为计算机创建一个新的 passkey,以便以后无需通过手机进行验证。

如果您想切换手机,比如从一部 Android 手机切换到另一部 Android 手机或从一部 iPhone 切换到另一部 iPhone,这种情况完全可以在新设备上恢复。但是,如果您想从一个操作系统切换到另一个操作系统,或者更糟糕的是,如果您丢失了唯一的 Android 设备并想切换到 iPhone,目前还没有程序可以实现这样的 passkeys 恢复。

谷歌告诉《纽约时报》,它正在与 FIDO 联盟就传输问题开展合作,并表示“这是我们的首要任务,因此我们正在探索一些允许可移植性的选项”,风险点在于,如果能够实现跨设备传输,黑客可能会在这个过程中窃取 passkeys。

但是谷歌和微软已经向《世界报》提出了一种解决方案:口令管理器。在 2023 年初,已经有一批人在这个问题上确定了立场。

口令管理器,矛盾的解决方案?

毕竟,口令管理器已经为口令问题提供了解决方案。当需要为我们连接到的每个站点创建唯一且复杂的口令时,拥有一个自动为我们创建并保存口令的软件,且无需大量锻炼我们的记忆力,是非常方便的。

但是,对于 passkeys 来说,它们的角色将完全不同。虽然不需要再记忆它们,但访问 passkeys 的当前问题是它们在不属于同一操作系统的多个设备上的使用。如果解决方案不是将它们链接到特定设备而是链接到软件怎么样?口令管理器已经允许我们在浏览器和手机上访问口令,不会出现兼容性问题,而且在其中一个设备进行更改后可以立即在所有设备之间自动同步口令。

我们不可能立刻摆脱口令

我们在管理器中注册 passkeys,就可以非常轻松地访问它们,而无需在为我们的计算机创建一对 passkeys 后,还要在手机上创建一对 passkeys 来访问同一站点。共享口令也可以更简单:不需要使用相同的操作系统,只需使用相同的管理器。

而且,即使该领域正在取得许多进展,我们也不会在明天就立刻摆脱口令。目前很少有网站和服务使用无口令身份认证,即使无口令的采用率更高,它们也会在相当长的时间内继续与访问密钥共存。

因此,口令管理器将继续发挥作用,并通过允许尽快将口令和 passkeys 保存在同一个软件中,确保未来。而在 2023 年初,几个常用的口令管理器已经宣布了这一点。

口令管理器正在为 passkeys 的支持做好准备

口令管理器的第一步是在其软件中支持 passkeys。Dashlane 是朝着这个方向迈出了第一步的公司之一,成为 FIDO 联盟的成员,并增加了从其浏览器扩展程序注册和使用访问 passkeys 的能力。目前,该技术还很年轻,Dashlane 特别建议将其与经典口令一起用于双因素身份认证。它尚未在移动应用程序中提供服务,但该公司希望很快就能实现这个服务。

其他公司也在很快跟进。1Password 成为 FIDO 联盟董事会成员,并借此机会宣布 passkeys 支持将于 2023 年初推出。NordPass 旨在同一时期引入访问 passkeys 存储以及无需输入主口令即可登录管理器的能力。

另一个流行的口令管理器 Bitwarden 已经允许在没有主口令的情况下连接到其管理器的所有版本,并表示将在 2023 年开始支持 passkeys。无需详尽盘点所有公告,通过这些主流管理软件的例子可以看出,2023 年的大趋势已经形成

投资无口令

但其中一些管理者决定更进一步。2022 年 1 月,1Password 收购了 Passage,这是一家旨在帮助开发人员而不是用户采用无口令的公司。在大型企业和管理者忙于创建和存储 passkeys 时,Passage 力求使网站和应用程序开发人员更容易集成无口令身份认证,无论是在搭建新项目还是在更新现有网站时。

今年早些时候,Bitwarden 宣布收购 Passwordless.dev,这是一家成立于 2020 年的初创公司,与 Passage 一样,该公司创建了 API 来帮助开发人员和企业为其项目添加无口令登录选项,而无需重新开发自己的解决方案。

大规模采用无口令的最大障碍仍然是它与不同网站的兼容性。

就目前而言,大规模采用无口令的最大障碍仍然是它与不同网站的兼容性。仅仅拥有一个能够存储和创建 passkeys 的设备是不够的,您要注册的服务必须能够接受这种新型认证方式。而且它们目前尚未普及。这些管理器正试图通过收购来解决这种情况。口令管理软件不仅仅是 passkeys 存储的替代方案,还希望在未来拥有发言权,并寻求将自己确立为障碍双方的重要参与者,无论是对于必须在其产品上采用该技术的开发人员还是用户。

目前的解决方案不能解决所有问题

目前来看,虽然处于起步阶段,但开端是充满希望的。如果将 passkeys 的管理委托给口令管理器可以解决一个问题,但是同时它可能会引入其他问题。例如,通过保存您的 passkeys,从 iPhone 切换到 Android 会更容易,反之亦然,因为您只需下载管理器的应用程序并登录您的账户即可找到 passkeys。

我们现在可以验证这一点:通过在两种不同的浏览器上安装支持该技术的管理器的扩展插件,我们在两个浏览器上都能找到存储的 passkeys。但是,在缺乏像今天这样的真正的口令可移植性解决方案的情况下,我们是否只是在转移问题:我们没有被困在操作系统中,但是冒着依赖特定口令管理器的风险。1Password 试图避免这种情况,该公司表示正在研究一种解决方案,以便在保留现有 passkeys 的同时轻松更改口令管理器。

虽然我们目前对口令管理器有足够的信心来确保我们的数据安全。无论如何,这一风险不可能为零,我们必须接受,但需要一些参与者提高透明度。

No Reply at the moment.
You need to Sign in before reply, if you don't have an account, please Sign up first.