什么是密钥 (Passkey)?
密钥 (Passkey) 是一种基于 FIDO 的安全且便捷的传统密码替代方案。它们使用先进的加密技术来保护你的账户免受 网络钓鱼 攻击。
- 独特的服务:当你注册某项服务时,你的设备会创建一个链接到该特定服务域的独特密钥 (Passkey)。
- 设备链接:密钥 (Passkey) 通常与设备相关联,如手机、笔记本电脑、生物识别标识符或硬件安全密钥。
- 公私钥对:设备保留私钥,而公钥则与服务共享。这些加密密钥对被称为密钥 (Passkey)。(引自 FIDO )
- 多种认证方法:你可以通过指纹扫描、人脸识别、设备 PIN、二维码扫描或安全密钥来使用密钥 (Passkey) 进行认证。
- 跨设备同步:密钥 (Passkey) 可以通过安全的云存储(例如 Apple 的 iCloud 钥匙串或 Google Password Manager)在设备间进行同步,让你可以从任何支持的设备登录。
密钥 (Passkey) 的工作流程是什么样的?
密钥 (Passkey) 通过利用公钥加密技术来提供安全的凭证。
- 注册
- 当你注册某项服务时,你的设备会生成一对与该服务关联的独特加密密钥对。
- 私钥 保留在你的设备上,而 公钥 则与服务共享。
- 认证
- 当你尝试登录时,服务会向你的设备发送一个 挑战。
- 你的设备使用 私钥 根据挑战生成一个加密的 签名。
- 签名 会被传回服务,服务会使用 公钥 进行验证。
- 如果签名有效,则认证成功。
阅读 WebAuthn,一个用于实现密钥 (Passkey) 的 API,以了解详细信息。
密钥 (Passkey) 的终端用户流程是怎样的?
密钥 (Passkey) 为本地和云用途提供了两种类型的认证器,用户可以为服务启用其中一个或两个。
- 平台认证器(内部认证器):绑定到特定设备操作系统(如手机、笔记本电脑),使用生物识别或设备密码进行授权,快捷且方便。
- 例子:Apple 设备上的 iCloud Keychain(通过 Touch ID、Face ID 或设备密码验证)、Windows Hello、Android 上的 Google Password Manager。
- 漫游认证器(外部认证器):便携设备或软件,如安全密钥、智能手机。可以跨多个设备使用,但可能需要额外的步骤如二维码扫描或 NFC/Bluetooth 配对。
- 例子:YubiKey 和智能手机上的基于云的账户。手机认证器通常需要二维码扫描以与桌面设备关联,跨设备认证需要通过 Bluetooth、NFC 或 USB 连接以确保认证器在附近。
什么时候使用密钥 (Passkey)?
密钥 (Passkey) 是一种现代认证因素,可以用作第一或第二因素。
- 密钥 (Passkey) 登录:密钥 (Passkey) 提供比传统密码更快更安全的无密码认证方法。
- 现代应用程序通常在登录页面上显示“使用密钥 (Passkey) 登录”按钮,提示用户主动选择该选项。
- 此外,如果识别出用户在同一设备和浏览器上注册了密钥 (Passkey),登录页面可以自动提示密钥 (Passkey) 登录弹出窗口。
- 密钥 (Passkey) MFA:密钥 (Passkey) 也可以用作多因素认证 (MFA) 的第二因素。
- 当用户尝试登录时,他们首先输入他们的电子邮件和密码(或其他第一因素),然后服务会提示他们使用密钥 (Passkey) 完成两步验证。
- 如果浏览器中有现有会话,服务可以直接提示用户使用密钥 (Passkey) 登录,而无需再次输入密码。由于密钥 (Passkey) 是通过绑定到当前设备并通过生物识别、PIN 或其他硬件方法验证用户来实现高级安全性的,这一过程称为完成 MFA。
- 安全验证:在高安全环境中,密钥 (Passkey) 通常用于双重检查用户身份。例如,当访问敏感财务信息或执行关键操作(银行、政府、企业系统)时。