V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
alexkuang
V2EX  ›  分享发现

1Password 新功能 Passkey 登录,丝滑的用户验证 workflow

  •  
  •   alexkuang · 2023-09-28 05:13:21 +08:00 · 2926 次点击
    这是一个创建于 424 天前的主题,其中的信息可能已经有所发展或是发生改变。

    目前试了 Google 和 GitHub 都已经支持了,而且不是作为密码之外的多因素验证,是替代密码。最新的浏览器和移动操作系统( Android iOS )都原生支持,1Password 实现了跨平台同步支持,体验非常丝滑。

    https://www.loom.com/share/be72660ecf33468084ce3e12281552ae?sid=dc2c5cf8-25e5-44e1-8dfa-3cbd222b69b7

    16 条回复    2023-09-28 13:07:45 +08:00
    weazord
        1
    weazord  
       2023-09-28 05:19:55 +08:00 via iPhone
    大部分账号的 passkey 我都放 1password 上面了,个别账号(比 1password 的主密码还重要的账号)还是用的普通 fido key
    jadec0der
        2
    jadec0der  
       2023-09-28 06:26:35 +08:00
    谢谢推荐,试了一下挺好用的,你不说我都没注意那么多网站的 password 设置里悄悄多了一项
    shortxxx
        3
    shortxxx  
       2023-09-28 08:22:16 +08:00
    @weazord 除了加密货币 给个提示一般人还有啥比 主秘密啊还重要呀?
    shortxxx
        4
    shortxxx  
       2023-09-28 08:24:10 +08:00
    Passkey 不能钓鱼了就是强 但是不能用双盲密码也是一个弊端吧?

    ---

    双盲密码就是两组不同密码的组合。其基本思想是,把密码分为两个部分

    - 一部分存储在密码管理器中(以下简称密码 A )
    - 另一部分存储在您的脑部(以下简称密码 B )

    这意味着,密码管理器只存储随机生成的密码,即密码 A ,但并不知道密码 B 。

    例如:存储在密码管理器中的用户名为:John ,密码为:rock-and-roll ,而您存储在脑部的密码为 Mix (密码 B )

    那么,您最终用于登录的凭据为:用户名 John ,密码:rock-and-rollMix

    这相当于增加了一层防护,只有您自己才能解锁。同样,该密码 B 越长越好(或者一个简单的单词亦可),但只限于您自己知道。
    weazord
        5
    weazord  
       2023-09-28 08:31:25 +08:00
    @shortxxx 对我来说 Google 账号就比 1password 重要,没放密码管理器+fido key 两步验证

    不过 1password 应该也算是安全, 我 eth 的私钥存几年了也还没丢 (本来想迁移的后来想想算了 哪天被偷了我就第一时间知道 1password 主密码泄漏了
    necpom
        6
    necpom  
       2023-09-28 08:32:49 +08:00
    随便搜了下没看懂,能介绍下它的核心原理吗?是类似设备指纹吗?还有它的防盗机制是什么?
    weazord
        7
    weazord  
       2023-09-28 08:34:08 +08:00
    @weazord 还有 Apple ID ,其他就没了,全放 1password
    onionnews
        8
    onionnews  
       2023-09-28 08:42:28 +08:00
    Enpass 移动端现在也支持。桌面端的更新提到了 passkey ,可能要等之后的版本
    shortxxx
        9
    shortxxx  
       2023-09-28 08:54:46 +08:00
    @weazord 谢谢分享 我是都开了 fido key 然后密码放 1P
    Sharuru
        10
    Sharuru  
       2023-09-28 08:57:20 +08:00 via iPhone
    Passkey 真的很丝滑,一键登录,但是你知道他足够安全。
    alexkuang
        11
    alexkuang  
    OP
       2023-09-28 09:33:02 +08:00
    @shortxxx #4 你这就是一种多因素验证的形式,不过本来用 1Password 同时存储多个因素(密码和 TOTP )其实就有点安全逻辑上的漏洞的,现在用 Passkey 确实有回退到单因素验证之嫌,但还是比基于密码的传统单因素验证安全很多,比如可以防止简单密码、重复用的密码泄漏之类的。
    alexkuang
        12
    alexkuang  
    OP
       2023-09-28 09:44:50 +08:00
    @necpom 其实就是基于 WebAuthn 的,目前最新的手机操作系统、浏览器都支持了。简单的原理可以参考 https://webauthn.guide/
    只不过 1Password 的优化是可以跨平台,可以在所有支持 1Password 的平台上使用。
    shortxxx
        13
    shortxxx  
       2023-09-28 10:01:51 +08:00
    > 但还是比基于密码的传统单因素验证安全很多,比如可以防止简单密码、重复用的密码泄漏之类的。

    是的 我觉得本身生成密码可以在一定程度解决这个问题 唯一解决不了的就是被钓鱼和社会工程
    seeu2ex
        14
    seeu2ex  
       2023-09-28 11:39:25 +08:00
    @shortxxx #9 fido key 是啥
    shortxxx
        15
    shortxxx  
       2023-09-28 12:26:57 +08:00
    是一种物理验证钥匙 你搜搜 YubiKey
    mangoDB
        16
    mangoDB  
       2023-09-28 13:07:45 +08:00   ❤️ 1
    补充一个 https://passkeys.directory/ 可以用来了解已经支持 Passkey 的网站
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5544 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 30ms · UTC 08:27 · PVG 16:27 · LAX 00:27 · JFK 03:27
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.