TL;DR密钥是一种安全登录您喜欢的应用程序和网站的方法,无需记住密码或用户名。
Passkey 技术已经存在了一段时间,但由于谷歌和苹果发布了一些重要版本,2023 年是至关重要的一年。所以请继续阅读! 密码不是一个好时机除非您一直在尝试 4 年来未登录过的随机帐户的第 13 个字母和数字组合,否则您可能不会经常考虑整个密码概念是否好。计算机密码的想法于 1960 年在麻省理工学院首次提出,总体方案大致保持不变。但从那时起,互联网已经发生了很大变化,密码不起作用这一点开始变得越来越清楚:
为您想要登录的每个互联网服务维护单独的用户名和密码显然不是一种理想的体验。像 1Password 这样的密码管理器使这一切变得更加容易,但只有三分之一的美国人实际上在使用.其余的要么记住每个服务的唯一用户名/密码组合,将它们存储在电子表格中,或者更糟糕:对多个帐户使用相同的用户名和密码。这给我们带来了关于密码的第二个要点……
过去 10 年来,几乎每一起重大违规事件都以某种方式涉及欺诈性地访问账户。密码可能会被网络钓鱼,可能会被泄露,可能会存储在其他人的服务器上……这样的例子不胜枚举。人们甚至利用人工智能成功破解了密码。 密码不是世界上最安全的东西不是什么新闻。在过去几年中,您可能已经看到越来越多的服务提供MFA (即多重身份验证) 。 MFA 使用密码以外的方法来双重验证您的身份,通常采用短信、电子邮件或 Authy 等身份验证应用程序的形式。这样,如果您的密码泄露,黑客仍然需要访问您的其他身份信息(电话、电子邮件等)才能登录。 MFA 确实可以帮助您锁定帐户,但它也很烦人且耗时。一般来说,这通常是一个不言而喻的事实:安全性和用户体验之间需要权衡。想要让事情变得更安全吗?使用起来会更加困难。想让一些东西更容易使用吗?它可能会不太安全。 理论上的万能钥匙:公钥加密密钥的一个很酷的事情是它们比密码更安全且更易于使用。该技术基于自 70 年代以来就已存在的公钥加密。 网络上不乏深入解释这个概念的视频,所以我会保持简单。 一切都始于一个问题:如何安全地与某人共享某些内容,并确保没有未经授权的人访问它?早在 20 世纪 70 年代初,一些研究人员就想出了一种通过互联网完成这项工作的巧妙方法。每个人都有两把“钥匙”或身份证明:
如果有人想向您(并且只有您)发送消息,他们会使用您的公钥“锁定”该消息(请记住,每个人都可以访问该消息)。但只有您的私钥才能“解锁”用您的公钥锁定的内容,因此其他人无法访问它。您几乎可以将公钥视为一扇上锁的门,任何人都可以将东西放在后面,但只有您可以访问这些东西。这个过程用两个名叫 Alice 和 Bob 的人(无聊)来经典地解释:
密钥采用此公钥加密概念并将其应用于登录网络上的服务。如果您将您的帐户视为“消息” – 提供商将使用您的公钥对其进行签名,并且只有您可以使用您的私钥登录。将 Peter 视为 Google,将 Lumbergh 视为您,并将该消息视为对您的 Google 帐户的访问权限。
由于您的私钥存储在您的设备上,因此您无需记住或存储任何密码。您所需要做的就是证明您是设备的所有者,这在当今的笔记本电脑和手机上就像 TouchID、FaceID 或任何其他快速生物识别选项一样简单。需要强调的是,使用密钥时,实际上进行身份验证的不是您的指纹或面部,而是您的指纹。它只是证明您拥有您的设备。这是发生魔法的设备上的私钥。 证据就在密钥中。 Google 的研究表明,除了密码比密码快 2 倍之外,它们也更可靠;首次尝试使用密码登录的成功率仅为 14%,而使用密钥登录的成功率为 64%。
让我们来看看它们在实践中是如何工作的。 Passage by 1Password可以帮助您在您的应用程序中实现密钥——比密码更安全、 速度快 2 倍的登录体验——只需几行代码。获得跨平台,在几分钟内为生产验证做好准备。从技术上讲,读者可以使用代码“TECHNICALLY6MO”获得独家六个月免费试用!
实践中的万能钥匙:Google 和您Google 一直是 Passkey 领域的先行者之一, 从今年 5 月开始,您就可以使用 Passkey 登录 Google 服务。创建密码后,登录就像进入登录屏幕一样简单:
并选择 Passkey 作为您的身份验证机制:
我的 Macbook Pro 提示我输入指纹以验证我是否有权访问该设备,仅此而已。无需记住密码,而且几乎无法破解。 如果 Passkey 技术已经存在一段时间了,而且看起来很酷,那么为什么它花了这么长时间才成为登录网络服务的合法方式呢?简而言之,复杂性在于管理密钥,尤其是跨设备管理。
这就是为什么最近事情有所好转。谷歌和苹果恰好都拥有(a)世界上最大的浏览器和(b)世界上最大的云身份服务(Drive和iCloud),它们一直在大力投资Passkey技术。他们添加了对跨设备同步密钥的支持,首先使用其本机密码管理器,但现在也使用1Password 等第三方密码管理器。 这些原因也是供应商实施密钥如此困难的原因。如果您是一名开发人员,希望让您的用户通过密钥登录,您需要担心很多问题:
以下是您自己实现其中一个流程的示例图。不要太担心细节;这个想法是它比你想象的要复杂得多。
如今,密钥的底层 API 位于一个名为WebAuthn的保护伞下。有一个新兴的库和工具生态系统可以使协议的使用变得更容易,但现在还为时过早。 1Password 的新的以开发人员为中心的产品(称为Passage )有助于避免许多此类麻烦,并让开发人员只需几行代码即可实现 Passkeys。 但我们正在实现目标!一些主要品牌现在支持通过密码进行身份验证,例如Tiktok 、 WhatsApp 、 Instacart 、eBay、PayPal 等。您可以在此处找到提供密钥身份验证的服务目录。如果您想开始使用密钥,请检查目录并查看您使用的任何服务是否支持它们。 Google 始终是一个不错的起点,但如果您尝试在工作帐户上启用密钥,则您的 GSuite 管理员需要先对其进行授权。 Passage by 1Password可以帮助您在您的应用程序中实现密钥——比密码更安全、 速度快 2 倍的登录体验——只需几行代码。获得跨平台,在几分钟内为生产验证做好准备。从技术上讲,读者可以使用代码“TECHNICALLY6MO”获得独家六个月免费试用!
您目前是Technically的免费订阅者。要获得完整的体验, 请升级您的订阅。
© 2023贾斯汀 |
什么是万能钥匙?
我们最终能摆脱用户名和密码吗?
