今天小編分享的互聯網經驗:如何一勞永逸地解決忘記密碼的問題?,歡迎閱讀。
11 月 15 日,微信海外版 WeChat 宣布面向 iOS 上線 " 通行密鑰(Passkey)" 功能。iOS 用戶通過驗證生物特征信息(如指紋、面容)來驗證密鑰對是否匹配,無需輸入密碼即可快速登錄 WeChat。
而微軟和蘋果早在疫情期間就推出了通行密鑰,蘋果更是在今年秋季發布的 iOS 18、iPadOS 18 和 macOS 15 系統内,首次搭載一款專門管理密碼的 app。據了解,這款密碼 app 将協助整合用戶登錄網站和軟體,也代表 Apple 多年首次将讓密碼從系統設定移出,改為獨立應用服務。iOS 18 所新增的 " 密碼管理 "app 主要是基于現有的 iCloud 鑰匙圈服務運作,該服務能在不同設備之間同步密碼和用戶名,同時還能夠支持從 1Password 和 LastPass 等第三方鑰匙管理服務匯入帳号密碼,也提供了更多的靈活性和便利性。
由于通行密鑰具有易于使用和安全的特點,越來越受用戶歡迎。10 月 13 日,谷歌今天宣布安卓和 Chrome 浏覽器帶來初步的通行密鑰支持。第一階段讓開發者通過使用 Google Play 服務 Beta 測試版和 Chrome Canary 來獲得該技術,并讓他們在其網站和應用程式中增加對該功能的支持。
谷歌希望在今年晚些時候向穩定頻道推出對該功能的支持,屆時一些開發者将把該技術納入其產品。谷歌的下一個裡程碑是将 API 支持引入原生安卓應用。在他們的應用程式中建立支持的開發者将允許用戶選擇使用通行密鑰或密碼來登錄。随着通行密鑰的普及,創建和記住密碼的需求将減少,這可能導致黑客入侵賬戶的情況減少。
什麼是通行密鑰
通行密鑰消除了在各種網站和 app 上記不住不同密碼的煩惱。對于那些不了解的人來說,通行密鑰就是密碼的替代品,其工作方式與手機在解鎖前驗證用戶的方式相似,包括指紋掃描、人臉識别、圖案解鎖等。
通行密鑰的核心目标是在傳統的 " 用戶名 - 密碼 " 認證體系之外,探索一種更簡潔、更直觀但安全的身份驗證方法。例如,如果你擁有一部配置了面容 ID 的 iPhone,通過面容 ID 來解鎖手機就能證實是你本人在操作,這種方式比輸入登錄憑證或自動填充登錄信息更為迅速和自然。
具體到技術層面,通行密鑰基于 FIDO 聯盟和 W3C 标準,實際上摒棄了密碼的概念,它采用非對稱加密技術,取代了以往需要在伺服器上加密存儲的登錄憑證。與傳統的包含用戶名和密碼的認證數據不同,使用非對稱加密技術時,用戶設備會生成一對 " 公鑰 " 和 " 私鑰 ",并将其中的一部分 " 公鑰 " 提交給提供注冊服務的伺服器進行身份驗證。
另外,通行密鑰能有效提升登錄速度,減少密碼重設次數,還能降低支持成本。在用戶登錄 app 時,使用新的通行密鑰更新 API 創建通行密鑰,并讓用戶知道通行密鑰已保存,所有這一切操作都不會打斷用戶體驗。
不能把通行密鑰和生物識别方式混為一談
生物識别技術為了确保用戶隐私安全,會将用戶的生物數據以數字化特征的形式存儲在芯片中,并用作一種密鑰。每次驗證用戶身份時,系統會将用戶生物信息生成的數字特征與芯片内存儲的特征進行匹配,匹配成功即表示驗證成功。
與伺服器的互動有所不同,當 Face ID 功能被激活後,一旦芯片驗證成功,系統會将生成的令牌發送至伺服器。伺服器利用預設的證書解密令牌,并驗證令牌内容,包括用戶 ID 和時間戳等信息。如果驗證無誤,伺服器将向應用程式發放訪問令牌。
從這一過程中可以看出,Face ID 和 Touch ID 極度依賴于芯片,并且用戶數據也存儲在芯片中。這意味着每台設備都需要獨立設定一個 ID,并且與設備綁定。例如,你在手機上設定了指紋,電腦上也需要單獨設定,不能将手機上的指紋直接用于電腦。
然而,通行密鑰基于公鑰和私鑰對,一旦在手機上設定完成并通過 iCloud 同步到電腦上,電腦就無需再次設定。這樣就不會遇到在 app 上使用 Touch ID 登錄,但在網頁版登錄時仍需密碼的情況。
簡而言之,Face ID 和 Touch ID 是一種結合設備和用戶身份的驗證方式,兩者缺一不可。而通行密鑰則是一種基于能夠提供私鑰的用戶身份的驗證方式,只關注你能否提供私鑰。在安全性方面,前者更勝一籌,而在便利性方面,後者則遠超前者。Face ID 和 Touch ID 不能外借,而通行密鑰則允許私鑰的共享。
總結
随着移動互聯網的發展,人均安裝的 App 總量在今年 3 月已攀升至 70 個(來自月狐 iApp 數據),相較于去年同期增長了 2 個,這對密碼的記憶難度加大了考驗。但如果未來幾年一切順利,我們希望看到通行鑰匙成為常态,屆時密碼将不再成為網上衝浪的阻礙。