【Web技术】使用Passkeys进行无密码登录

介绍

Passkeys是一种更安全、更容易替代密码的方法。使用密钥，用户可以使用生物识别传感器（如指纹或面部识别）、PIN或模式登录应用程序和网站，从而无需记住和管理密码。

开发人员和用户都讨厌密码：它们给用户带来了糟糕的用户体验，增加了转换摩擦，并给用户和开发人员带来了安全责任。安卓和Chrome中的谷歌密码管理器通过自动填充减少了摩擦；对于寻求在转换和安全性方面进一步改进的开发人员来说，密钥和身份联合是该行业的现代方法。

密钥可以在一个步骤中满足多因素身份验证要求，取代密码和OTP（例如6位短信代码），以提供强大的保护，防止网络钓鱼攻击，并避免短信或基于应用程序的一次性密码带来的用户体验痛苦。由于密钥是标准化的，因此单个实现可以实现跨所有用户设备、跨不同浏览器和操作系统的无密码体验。

密钥更容易：

• 用户可以选择要登录的帐户。不需要键入用户名。
• 用户可以使用设备的屏幕锁进行身份验证，例如指纹传感器、面部识别或PIN。
• 一旦创建并注册了密钥，用户就可以无缝切换到新设备并立即使用它，而无需重新注册（不像传统的生物特征身份验证，它需要在每个设备上进行设置）。

密钥更安全：

• 开发人员只保存服务器的公钥，而不是密码，这意味着坏人入侵服务器的价值要小得多，在发生漏洞时要做的清理工作也要少得多。
• 密钥保护用户免受网络钓鱼攻击。密钥只能在他们注册的网站和应用程序上使用；不能因为浏览器或操作系统处理验证而欺骗用户在欺骗性网站上进行验证。
• 密钥降低了发送短信的成本，使其成为双因素身份验证的更安全、更具成本效益的手段。
• Passkeys reduce costs for sending SMS, making them a safer and more cost-effective means for two-factor authentication.

 

什么是密钥？

密钥是一种数字凭证，与用户帐户、网站或应用程序绑定。密钥允许用户进行身份验证，而无需输入用户名或密码，或提供任何其他身份验证因素。这项技术旨在取代传统的身份验证机制，如密码。

当用户想要登录使用密钥的服务时，他们的浏览器或操作系统将帮助他们选择并使用正确的密钥。这种体验类似于今天保存的密码的工作方式。为了确保只有合法所有者才能使用密钥，系统会要求他们解锁设备。这可以通过生物特征传感器（如指纹或面部识别）、PIN或图案来执行。

若要为网站或应用程序创建密钥，用户必须首先向该网站或应用软件注册。

• 转到应用程序并使用现有的登录方法进行登录。
• 单击“创建密钥”按钮。
• 检查使用新密钥存储的信息。
• 使用设备屏幕解锁创建密钥。

 

当他们返回此网站或应用程序进行登录时，可以采取以下步骤：

• 转到应用程序。
• 点击帐户名称字段，在自动填充对话框中显示密钥列表。
• 选择他们的密钥。
• 使用设备屏幕解锁完成登录。
• 用户的设备基于密钥生成签名。此签名用于验证源和密钥之间的登录凭据。

 

 

 

无论密钥存储在何处，用户都可以使用密钥登录到任何设备上的服务。例如，在手机上创建的密钥可以用于在单独的笔记本电脑上登录网站。

 

密钥是如何工作的？

密钥旨在通过操作系统基础结构使用，该基础结构允许密钥管理器创建、备份密钥，并使该操作系统上运行的应用程序可以使用密钥。在安卓系统上，密钥可以存储在谷歌密码管理器中，该管理器可以在登录到同一谷歌帐户的用户安卓设备之间同步密钥。密钥在同步之前会在设备上进行安全加密，并且需要在新设备上对其进行解密。使用Android OS 14或更高版本的用户可以选择将他们的密钥存储在兼容的第三方密码管理器中。

注意：请参阅Android和Chrome上的密钥支持，了解Android和Chrome在每个操作系统上的行为。

用户不仅限于在可用的设备上使用密钥——登录笔记本电脑时可以使用手机上可用的密钥，即使密钥没有与笔记本电脑同步，只要手机靠近笔记本电脑，并且用户批准在手机上登录即可。由于密钥是基于FIDO标准构建的，所以所有浏览器都可以采用它们。

 

 

例如，用户在其Windows机器上的Chrome浏览器上访问example.com。该用户之前已在其Android设备上登录example.com并生成了一个密钥。在Windows计算机上，用户选择使用其他设备的密钥登录。这两个设备将连接，并提示用户批准在安卓设备上使用他们的密钥，例如，使用指纹传感器。完成此操作后，他们将在Windows计算机上登录。请注意，密钥本身不会传输到Windows计算机，因此example.com通常会提供在那里创建新的密钥。这样，下次用户想要登录时就不需要手机了。阅读“使用手机登录”了解更多信息。

谁在使用密钥？

许多服务已经在其系统中使用密钥。

• DocuSign
• Google
  • The beginning of the end of the password
  • Google Online Security Blog: Making authentication faster than ever: passkeys vs. passwords
  • Designing the user experience of passkeys on Google accounts
• Kayak
• Mercari
• NTT Docomo
• PayPal
• Shopify
  • How Passkeys Reduce Friction in the Ecommerce Shopping Experience
  • Supporting Passkeys in Shop's Authentication Flows
• Yahoo! JAPAN
  • Yahoo! JAPAN's password-free authentication reduced inquiries by 25%, sped up sign-in time by 2.6x

自己试试

您可以在此演示中尝试密钥：https://passkeys-demo.appspot.com/

隐私注意事项

重要提示：密钥的设计考虑到了用户隐私。下面列出了最终用户可能提出的几个问题；为了让用户放心，开发人员应该在UI中添加一条令人放心的消息（例如，“使用密钥，用户的生物特征信息永远不会泄露给网站或应用程序。生物特征材料永远不会离开用户的个人设备”），并创建一个常见问题解答或支持文章来解释更多信息。

 

• 因为使用生物特征登录可能会给用户一种错觉，以为这是在向服务器发送敏感信息。事实上，生物识别材料永远不会离开用户的个人设备。
• 密钥本身不允许在站点之间跟踪用户或设备。同一密钥决不能用于多个站点。密钥协议经过精心设计，因此与站点共享的任何信息都不能用作跟踪向量。
• 密钥管理器保护密钥不受未经授权的访问和使用。例如，Google密码管理器端到端加密密钥机密。只有用户才能访问和使用它们，即使它们被备份到谷歌的服务器上，谷歌也不能使用它们来冒充用户。

安全注意事项

 

• 密钥使用公钥加密。公钥加密减少了潜在数据泄露的威胁。当用户为网站或应用程序创建密钥时，这将在用户的设备上生成一个公钥-私钥对。站点只存储公钥，但仅此一点对攻击者来说是无用的。攻击者无法从服务器上存储的数据中获取用户的私钥，这是完成身份验证所必需的。
• 因为密钥与网站或应用程序的身份绑定，所以它们不会受到网络钓鱼攻击。浏览器和操作系统确保密钥只能与创建它们的网站或应用程序一起使用。这让用户无需负责登录正版网站或应用程序。

 

接下来的步骤

• Passkey support on Android and Chrome
• Frequently asked questions (FAQ)
• Use cases
• Passkeys developer guide for relying parties
• Learn how to sign-in to an Android app using the Credential Manager