一文讀懂蘋果Apple推出的「通行密鑰」

記各種賬號密碼一直是數(shù)字生活中非常讓人頭疼的一件事。特別是早年經(jīng)歷過天涯、CSDN賬號被拖庫泄露后,為了避免撞庫的風(fēng)險,我花了很長時間更改其他賬戶的密碼,然后開始研究賬戶密碼安全。究竟什么樣設(shè)置,才能讓密碼的安全性更高呢?下面給大家介紹下。

一文讀懂蘋果Apple推出的「通行密鑰」

記各種賬號密碼一直是數(shù)字生活中非常讓人頭疼的一件事。特別是早年經(jīng)歷過天涯、CSDN賬號被拖庫泄露后,為了避免撞庫的風(fēng)險,我花了很長時間更改其他賬戶的密碼,然后開始研究賬戶密碼安全。究竟什么樣設(shè)置,才能讓密碼的安全性更高呢?下面給大家介紹下。

得到的結(jié)果如下:

1.8位以上

2.同時包含字母、數(shù)字和標(biāo)點,字母最好同時包含大小寫

3.不同網(wǎng)站設(shè)置不同密碼

4.支持兩步驗證的網(wǎng)站開啟兩步驗證

為了做到上述幾點,我絞盡腦汁,不同網(wǎng)站設(shè)置不同復(fù)雜的密碼,但最終還是沒有堅持下來。雖然密碼越復(fù)雜越安全,但是相對人腦卻越難記,隨著新賬號密碼的不斷增加,這種困難程度開始呈現(xiàn)指數(shù)級增長。

直到三年前,我開始用1password密碼管理軟件來管理我的所有密碼,這才算緩解了我密碼安全這方面的焦慮。

所以,密碼管理軟件是解決賬號密碼安全的終極解決方案?

答案,是否定的。Apple最近推廣的「通行密鑰」賬戶登錄驗證方案則可以完全丟棄密碼,這么顛覆性的辦法是真的嗎?

起源

其實,早在2012年,PayPal和聯(lián)想兩位帶頭大哥就創(chuàng)辦了一個叫「FIDO聯(lián)盟」的非營利性組織,該組織旨在”消滅密碼”,哦,不,是為了“解決強身份認(rèn)證設(shè)備之間缺乏可互操作性的問題,以及用戶面臨的設(shè)立、記憶多組用戶名和密碼的難題”。

隨后,「FIDO聯(lián)盟」和「W3C萬維網(wǎng)聯(lián)盟」一起推出了基于“公開密鑰密碼學(xué)”理論的通用無密碼登錄標(biāo)準(zhǔn),也就是「通行密鑰」(Passkey)。

不過,這個認(rèn)證方案是以具有能本地連接到登錄設(shè)備的生物認(rèn)證器(指紋識別、面容識別、聲音識別等硬件)為前提的。

“公開密鑰密碼學(xué)”是一個比較成熟的密碼學(xué)演算法,暫時不多說。

而類似“銀行U盾”的生物認(rèn)證器硬件在早些年可不多見,所以大家在日常生活中幾乎都沒有聽過到「通行密鑰」。

但隨著最近幾年微軟、谷歌和蘋果這幾個科技巨頭相繼加入這個聯(lián)盟,它們出廠的Windows PC、Mac、iPhone和安卓手機也越來越多原生就支持指紋識別和人臉識別,這為它們今年宣布將聯(lián)合推廣無密碼登錄技術(shù)「通行密鑰」打下了硬件基礎(chǔ)。

在上個月召開的WWDC2022(蘋果開發(fā)者大會)上,蘋果就率先在系統(tǒng)和軟件層面提供了對「通行密鑰」的支持,并建議macOS和iOS的應(yīng)用程序開發(fā)者開始適配新的登錄方式,為用戶提供一種簡單又安全的方式,讓用戶無需輸入密碼就能通過各種平臺登錄 App 和網(wǎng)站。

講了這么多,「通行密鑰」的普及對我們普通用戶究竟有什么影響呢?

通行密鑰的世界

以前,我們登錄一個兩步驗證的網(wǎng)站,需要三步:

1.打開網(wǎng)站的登錄頁面。

2.苦思冥想輸入賬號密碼。

3.拿出手機,輸入手機收到的驗證碼,點擊繼續(xù)登錄。

「通行密鑰」普及后,只需要打開登錄網(wǎng)站或App輸入賬戶,按指紋解鎖或面容解鎖,即可登錄賬戶??聪聢D的演示,感覺是不是輕松很多?

我們再也不用苦惱如何想出一個復(fù)雜難記的密碼了。因為Mac、iPhone等設(shè)備在注冊賬戶時,通過面容 ID 或觸控 ID認(rèn)證成功過后,會自動幫助我們針對不同網(wǎng)站生成獨特的、加密性強的「通行密鑰」。

我們再也不用記那么多密碼了。因為「通行密鑰」在創(chuàng)建后會自動存儲到設(shè)備的鑰匙串中,同時上傳到iCloud。

想要把賬戶分享給好基友登錄?打開鑰匙串,選擇對應(yīng)網(wǎng)站的「通行密鑰」,點擊右上角分享,即可通過Airdrop分享給好基友。

看到這,有同學(xué)可能會問了,使用通行密鑰登錄賬號和現(xiàn)有的密碼自動填充登錄好像流程差不多,除了少了密碼輸入框,兩者還有啥區(qū)別嗎?

其實密碼和通行密鑰的身份驗證原理完全不一樣,讓我們繼續(xù)往下看。

怎么證明你就是你?

「密碼登錄」,作為認(rèn)證核心的「密碼」,會在你輸入后被進(jìn)行一定算法處理(加鹽哈希等),然后送到網(wǎng)站服務(wù)器進(jìn)行存儲校驗。 密碼是證明你就是你的唯一鑰匙。無論是黑客從你或者網(wǎng)站那里竊取它,他們就可以完全冒充你登錄網(wǎng)站。

而「通行密鑰」呢?前面講過,它是基于“公開密鑰密碼學(xué)”(即“非對稱式加密學(xué)”)理論來設(shè)計的。

下面我會解釋一下基本原理,不要怕,我會用簡單生活化的語言來闡述,一定能聽懂。

這個理論中存在兩把配對的鑰匙,一把“私鑰”,一把“公鑰”。顧名思義,“私鑰”就是你自己私自擁有的鑰匙,藏在家里;而“公鑰”就是公開的鑰匙,可以復(fù)制送給任何人。

如果你對一個箱子用私鑰上鎖后,只能用配對的公鑰解鎖;同樣對箱子公鑰上鎖后,也只能用配對的私鑰解鎖。

在數(shù)字領(lǐng)域,這兩把鑰匙實際是由一長串比密碼長很多的字節(jié)數(shù)據(jù)組成,幾乎不能被暴力破解。

整個注冊和登錄過程,網(wǎng)站只擁有公鑰,就能驗證你擁有正確的私鑰,而不需要知道私鑰具體是什么。

對于黑客來說,攻擊網(wǎng)站存儲的公鑰數(shù)據(jù)庫也就沒什么太大的價值了。而網(wǎng)絡(luò)釣魚,這種最常見的泄露密碼的網(wǎng)絡(luò)攻擊也將起不到任何作用。

對于你而言,也只是操作上少了輸入密碼,改成了面容或指紋識別,用戶體驗超級簡單,并且可以隨時隨地使用。

跨設(shè)備驗證

蘋果在WWDC22上還演示了一種情況,假如登錄網(wǎng)站的電腦不支持觸控ID咋辦?沒事,還可以用你手里頭的iPhone掃碼然后人臉識別登錄。

這看著和用iPhone微信掃描登錄Mac微信很像嘛?但背后的技術(shù)也完全不同,「通行密鑰」的跨設(shè)備驗證技術(shù)能夠防止黑客將二維碼通過郵件等形式遠(yuǎn)程發(fā)送給用戶釣魚掃碼登錄。這又是怎么做到的呢?

跨設(shè)備驗證原理

WWDC的「Meet Passkeys」給出了說明解釋:這里有兩個設(shè)備,客戶端也就是你登錄的電腦,以及身份驗證器,也就是擁有我的通行密鑰的iPhone。

首先,電腦顯示一個二維碼 ,iPhone掃描二維碼。此二維碼包含一個 URL,它編碼了一對一次性使用的加密通行密鑰。

然后,iPhone生成一個包含網(wǎng)絡(luò)中繼服務(wù)器路由信息的藍(lán)牙廣告。這種本地交換允許選擇服務(wù)器和共享路由信息。但也有兩個額外的功能:它執(zhí)行一個服務(wù)器看不到的帶外通行密鑰協(xié)議,因此網(wǎng)絡(luò)上的 所有內(nèi)容都是端到端加密的,服務(wù)器無法讀取任何內(nèi)容。它還有力地證明了這兩種設(shè)備在物理上是接近的,這意味著通過電子郵件發(fā)送的二維碼或在虛假網(wǎng)站上生成的二維碼將無法工作,因為遠(yuǎn)程攻擊者將無法接收到藍(lán)牙廣告并完成本地交換。

接著,兩臺設(shè)備連接到由手機選擇的中繼服務(wù)器, 然后執(zhí)行一個標(biāo)準(zhǔn)的 FIDO CTAP 操作,這是使用前面的通行密鑰加密的,所以中繼服務(wù)器看不到任何進(jìn)行中的過程。

整個跨設(shè)備驗證是由設(shè)備和網(wǎng)頁瀏覽器執(zhí)行,網(wǎng)站在任何時候都不涉及這個過程。

未來

看起來,未來「通行密鑰」真的能夠讓我們完全丟掉記密碼的煩惱,創(chuàng)造一個完全沒有密碼的世界。

但是,現(xiàn)在想要創(chuàng)造這種美好的世界還面臨很多問題:

雖然蘋果、微軟等公司會拋出「通行密鑰」的軟件開發(fā)API,但是要支持這種登錄方案,還需要所有網(wǎng)站后臺都遵循「通行密鑰」的服務(wù)器標(biāo)準(zhǔn)。而這是有新的開發(fā)成本的,網(wǎng)站開發(fā)者不一定會有動力投入資金和精力去做。

「通行密鑰」登錄必須有生物認(rèn)證的硬件設(shè)備支持,硬件沒有完全普及的情況下,網(wǎng)站和App開發(fā)者就要同時維護(hù)密碼和通行密鑰兩種登錄方式來進(jìn)行過渡,這又增加了維護(hù)成本。

如果因為指紋損毀無法識別了,或者保存「通行密鑰」的設(shè)備丟了,想要登錄賬戶該怎么辦呢?這也是網(wǎng)站和App開發(fā)者需要考慮的問題,需要想辦法提供備用認(rèn)證方案。

還有新設(shè)備的遷移問題,比如之前用iPhone注冊賬戶,「通行密鑰」存在iPhone上,后來想用新買的安卓手機登錄,而這時身邊已經(jīng)沒有老的iPhone來掃碼登錄了怎么辦?

這些問題都需要系統(tǒng)平臺方和軟件開發(fā)者共同去思考,做出各自的努力,才有可能妥善解決。所以說,沒有密碼的世界還有很長的路要走。對此,你有什么看法嗎?歡迎 在評論區(qū)下想法哦!

本文來自投稿,不代表科技訊立場,如若轉(zhuǎn)載,請注明出處:http://2079x.cn/article/588421.html

秋秋的頭像秋秋管理團(tuán)隊

相關(guān)推薦

發(fā)表回復(fù)

登錄后才能評論