去年,苹果、苹果和微软达成了一项协议联合推杀死密码。研究结果为我们提供了密码,这是一种登录应用程序和网站的新方式,它依赖于用户的智能手机或笔记本电脑来验证登录身份。
所以很自然,你可能想知道为什么你仍然使用密码登录你的许多网站,如果不是全部的话。在RSA谷歌的产品经理克里斯蒂安·布兰德谈到了passkey面临的挑战,以及为什么这项技术要成为主流还需要一段时间。
他说:“今天,你们的大多数用户已经在他们的系统上安装了使用密钥的技术,现在的问题是我们什么时候开始推出这项技术。”
从本质上讲,苹果、b谷歌和微软已经制定了支持Chrome、Android、iOS、macOS和Windows的基础设施。但是,除了每个操作系统如何实现它们的分歧之外,业界还缺乏对它们的采用。
b谷歌本身仍然要求用户使用密码和密码登录多因素身份验证虽然有一把像钥匙一样的钥匙选项叫做“用手机登录”。不过,布兰德表示,谷歌正在寻求让密码成为一种更突出的登录方式。
布兰德在旧金山举行的RSA会议间隙表示:“谷歌将付诸行动,希望在某个时候开始让用户能够登录我们自己的东西。”“这是一个显而易见的问题。我们把所有东西都植入了Chrome和Android。我在哪里可以使用密码登录谷歌帐户?”
密码是如何工作的?
与万能钥匙例如,智能手机或笔记本电脑将存储一个唯一的私人加密密钥,可用于认证登录某个网站或应用程序。不会交换密码数据。相反,网站或应用程序只是发出一个数字“挑战”,绑定在你设备上的密码可以签名,然后解锁账户。
这种方法可以防止盗取密码的黑客企图,例如网络钓鱼信息。但一个明显的担忧是,如果你丢了手机会发生什么?幸运的是,密码可以通过云备份保存,比如谷歌或iCloud账户。这意味着安全解决方案也可以在需要时共享给其他设备。
布兰德在他的RSA演讲中说:“在密码世界里,无论你是换了一台新设备还是换了另一台设备,你总是在密码世界里。”
理想情况下,你所有的设备——不管它们运行的是Android、iOS还是windows——都能够使用并共享同一组密码来验证你所有网站和应用程序的登录。但在现实中,你不能在软件生态系统之间共享密钥,布兰德说。这意味着苹果和bb0设备需要存储和维护各自独立的一组密钥。与此同时,窗户不支持(在新窗口中打开)尚未备份或同步密码。布兰德补充说,因此,每台Windows设备都必须生成自己的个人密码,这些密码与设备绑定。
因此,如果用户使用多种操作系统,最终可能会收集大量的密码,布兰德表示,这可能会让消费者感到困惑。也就是说,密钥的设计考虑了“跨设备和跨平台”的兼容性。假设你用iPhone来存储你的密码。然后有一天,你想在新买的Windows笔记本电脑上登录一个网站。你的iPhone可以很容易地通过蓝牙功能或扫描二维码来临时验证Windows笔记本电脑的登录身份。
不过,向普通科技用户解释密码的所有细微差别仍是一项挑战。例如,碎片化问题需要一种集中的方式,使用户能够轻松查看其各种帐户的所有密码。
他补充说:“我还没有真正在现场看到好的密钥管理例子。”“很多东西还处于早期阶段。这是丑陋的一部分。作为一个行业,我们还没有完全弄清楚这一点。”
还需要让用户意识到密码的存在。因此,作为回应,布兰德在RSA的演讲中演示了一个银行网站如何让用户在经过传统的密码/用户名登录过程后,用密码登录一个网站。
在演示中,一旦输入了正确的密码,银行网站就会触发Chrome浏览器,告诉用户可以切换到使用密码登录。如果用户接受,他们就可以创建一个新的密码,只需要用户扫描智能手机上的指纹就可以完成这个过程。
布兰德的演示还旨在提醒人们,在登录银行的移动应用程序时可以使用相同的密码。如果用户试图在笔记本电脑上登录银行网站,Chrome会触发一个选项,让用户通过智能手机上已经存储的密码登录。
布兰德解释说:“这台笔记本电脑还没有密钥,但我可以创建一个。”为此,演示显示,笔记本电脑上的Chrome浏览器会触发一个新的弹出窗口,询问用户是否要为PC硬件创建另一个密码,以便将来可以轻松登录银行网站。
因此,未来passkey登录的实现可能会效仿布兰德的演示。但与此同时,他说需要更多的用户测试这项技术,以帮助解决问题。
布兰德补充说:“我认为,在接下来的几个月里,我们将做出改变,比如减少或打磨粗糙的边缘,但除非我们有收养,否则我们真的无法做到这一点。”“我们真的需要把这些东西呈现在普通用户面前。”