今年夏天的某个时候,人们报名参加密码管理器不需要记住一个特别关键和复杂的字母数字字符串——今天的服务需要的主密码。
多伦多公司宣布(在新窗口中打开)周四,该公司宣布将邀请客户创建并解锁一个账户万能钥匙-在生物识别安全设备上生成的复杂且唯一的令牌,仅在物理上接近托管登录尝试的计算机时有效。
苹果,bb0和微软联合宣布支持为这个开放的身份验证标准(在新窗口中打开)去年五月,但是密码管理器提供密钥作为主要身份验证系统是向前迈出的重要一步。
“在2022年,很少有一个月没有高调的社交、身份或安全服务遭到攻击,”首席产品官史蒂文·温(Steven Won)说。“与其用密码玩打地鼠游戏,为什么不彻底消除这种攻击途径呢?”
在Zoom通话的演示中,点击Mac的Touch ID按钮回复“用Passkey登录”的提示就足以创建1Password帐户了。
当前的新帐户的经验(在新窗口中打开)要复杂得多:在提供姓名和电子邮件地址之后,您要创建一个至少包含10个字符的主密码,该密码在任何情况下都不会忘记。然后下载“应急包”PDF,其中包含随机生成的“密钥”(在新窗口中打开)这被用来进一步扰乱你的私人加密密钥,你可能需要输入这个密钥来验证新设备的登录身份。
1Password(个人每年35.88美元,家庭每年59.88美元)的销售宣传强调了秘钥对其安全性的重要性。特别是在竞争对手密码管理软件LastPass的数据泄露事件不断恶化这破坏了加密的用户数据库,并将客户的主密码作为最后一道防线。
在一个12月28日(在新窗口中打开)例如,1Password的首席安全架构师杰弗里·戈德堡(Jeffrey Goldberg)写道:“如果1Password遭遇类似的漏洞,攻击者将无法破解你的账户密码和密钥组合——即使他们让地球上的每台计算机都来破解,并让它们运行数十亿倍于宇宙的年龄。”
一个1月10日(在新窗口中打开)首席技术官佩德罗·卡纳瓦蒂(Pedro canhuati)重申了这一点:“我们的双密钥加密确保1Password系统的漏洞不会对存储在保险库中的敏感信息构成威胁。”
那么,1Password如何证明放弃第二级防御是合理的呢?
在Zoom的电话会议上,首席执行官杰夫·希纳表示,这一新的选择确保了泄露用户选择的主密码的“猜谜游戏”永远不会开始,而作为passkey认证核心的随机生成的令牌比1Password的秘密密钥更复杂,产生的加密比现在的方法更难破解。
“现在在密码的世界里,你没有了选择和记住密码的麻烦,”他说。“你在用自己的设备来显示你是谁。”
整个过程的假设是,您将使用指纹或面部识别等生物识别方法验证每个密码登录,但是基本规范(在新窗口中打开)允许一个不太安全的密码解锁。
如果你把设备弄丢了怎么办?产品总监Mitchell Cohen在电话会议上表示:“我们依靠这些平台为我们提供额外的弹性和冗余。”他举了Touch id辅助登录的例子,点头表示赞同苹果的iCloud在iCloud钥匙链上存储了每个密码的加密副本“你可以找回你的密码。”
由苹果、bb0和微软主导的早期密钥推动已经上升平台锁定焦虑(在新窗口中打开)但1Password将允许跨平台的密码传输,比如从新手机扫描旧手机屏幕上的二维码。
Won进一步指出,密钥架构的蓝牙近距离验证——确认持有密钥的人就在请求登录的屏幕旁边——使得丢失或被盗的设备毫无用处。
“因为这个认证请求是专门绑定到设备上的,它证明了用户的存在,”Won说。
最初的密码登录功能将在今年夏天作为可选的测试服务。
“为了让人们感到舒适,我们将把它作为可选的开始,”元说。“我的梦想是能够在今年年底说,嘿,我们在互联网上部署了最大规模的密钥。”
考虑到到目前为止,passkey认证的采用速度很慢。的启用密码的站点目录(在新窗口中打开)1Password维护的网站周三只显示了31个条目,其中之一一个演示站点(在新窗口中打开)去年设的那个密码
该公司已经朝着这个目标迈进了一段时间。11月,1Password购买通道,以建立其企业登录业务。
在接受采访时在不久之后的网络峰会上,夏纳与PCMag一起概述了1Password将带给企业的密码信息——现在可以看作是它对个人客户的新主张的预览。
“对你来说,这比用户名和密码更安全,但对你作为最终用户来说,它实际上仍然更方便,”夏纳当时说。