Passkeys 介绍
#Passkeys #通行密钥
• Passkeys (通行密钥)即 Fido 中用于 WebAuthn/FIDO2 凭证的新名称,可以实现完全的无密码体验
• Passkeys 是存储在设备上的数字凭证(私钥),可以让你在没有密码的情况下登录(存储有你对应公钥的)应用和网站。当使用 Passkeys 登录时,网站无法访问你的私钥,只能验证你是否拥有它,并且它对应于匹配的公钥
• 苹果在今年 6 月的 WWDC 上 宣布 Passkeys 无密码登录,通过在 iCloud Keychain 中存储 Passkeys 密钥,并使用 Touch ID 或 Face ID 进行身份验证,在非苹果设备上用户可以使用 iPhone 扫描 QR 二维码实现
• Google 在 10 月的博客中 宣布 为 Android 和 Chrome 带来 Passkey 支持
• 1Password 宣布将于 2023 年年初开始支持 Passkeys ,并且推出了一个 演示页面 和维护了一个支持 Passkeys 的网站和应用目录:
• 支持 Passkeys 的设备:iOS, MacOS, Android, Chrome, Windows, Yubikey • 支持 Passkeys 登录:Microsoft, PayPal • 支持 Passkeys 两步验证:Cloudflare, Google
• 少数派有一篇关于 Passkeys 的详细介绍 https://client.sspai.com/post/73937
✔️@DocOfCard
1
dacapoday 2022-11-30 13:31:22 +08:00
https://webauthn.io/
另外附加一个 duo 资助的 webauth 测试页面以及介绍。 |
2
GaryLz OP 现在不管电诈还是社工泛滥,传统密码验证已经满足不了需求。虽然各大互联网巨头已经把 2fa 、sms 强制验证,当作抵御传统密码攻击的常用工具。但是,这往往繁琐,所以出现了单独密码管理工具 app ,尽可能把这一过程自动化,简单化。
|
3
swulling 2022-11-30 13:34:54 +08:00
为啥不直接用客户端证书,也就是 Mutual TLS 。
|
4
GaryLz OP 这两年又出现很火的硬件级密钥 yubikey ,cf 为其背书,谷歌、苹果、twitter 也跟进,基于公私钥验证原理,正在往无密码方向走,可能是未来隐私安全发展趋势。
|
5
dacapoday 2022-11-30 13:38:01 +08:00
其实还是有局限性的,或者有待发展的。比如单账户多设备登陆,因为信任的是公钥,所以要么像苹果那样,iCloud 跨端同步 credential ,要么类似 github 有一个公钥管理界面。
|
6
cmdOptionKana 2022-11-30 13:39:11 +08:00
这个方案仍在方便与安全的不可兼得的规则之内。
但对于多数小白用户来说是好事,毕竟很多人只用简单密码或易猜密码、唯一密码。 |
7
GaryLz OP 所以,我想到一个 scenario ,以后人们可能只需要利用生物特征,比如指纹、人脸、眼球,或者是,硬件级密钥,就可以无密码登陆进去。
但是,结合最近很人心惶惶的“地铁被查手机”新闻,如果在人身安全无法得到保障的条件下,无密码验证,相比其他方案,真的是很好的选择嘛码?这点我很疑惑。 |
8
dacapoday 2022-11-30 13:53:42 +08:00
@GaryLz 如果按苹果现在的实现,本质上是 密钥托管服务。passKeys 是服务具体实现所用的协议及格式,而且数据会上云,对于中国用户来说是云上贵州。而且目前用户实际上无法直接得到密钥数据文件,但是托管设施的监管者却可以。
|
10
dacapoday 2022-11-30 14:23:00 +08:00
@tool2d 使用这个 passkeys ,要开启钥匙串,且打开 icloud 。我自己本地搭建过 webauthn 的网站,用不同的苹果设备登陆,它提交的都是相同的公钥,那说明各设备间的私钥是通过网络互相同步的,而不是仅存在本地。
|
11
yao177 2022-11-30 14:28:02 +08:00
公司里就是 yubikey+okta ,但是这种 zero-trust 判断你异常后解锁就很麻烦了,又是申请又是找管理
|
12
SenLief 2022-11-30 14:33:37 +08:00 via iPhone
没有密码而是每次都过邮件登录或者验证发验证码这种安全性如何?
|
13
tool2d 2022-11-30 14:34:06 +08:00
@dacapoday "The server never learns what the private key is"
这句话是苹果官方文档里提到的,( https://support.apple.com/en-us/HT213305),你别告诉我,苹果在骗我。 |
14
dacapoday 2022-11-30 14:59:28 +08:00
@tool2d 我理解这里的 server 指的是 需要 auth 的网站。而不是苹果的 icloud 。而且这篇文档的下方,就是它在吹嘘通过 icloud 同步这些密钥多么靠谱。
|
15
tool2d 2022-11-30 15:29:09 +08:00
@dacapoday 又看了一下,好像你说的也对。
但问题是任何一个网络安全认证技术,都不可能让第三方服务器知道个人密码或密钥啊,那就并不能体现苹果这个新技术的优势了。 icloud 用户钥匙链同步服务器,对老美应该是严格加密的。对于你我来说,由于机房在国内,如果官方需要审核,那是不是加密,只有天知道了。 |
16
GaryLz OP 搭个楼,有人要 yubikey 么?可以看我另一个交易贴 🙈
|
17
piku 2022-11-30 22:43:42 +08:00 via Android
问题还是在于手机安全。比如把你打晕,然后用你的手指头按一下指纹
|