转帖未来趋势-无密码体验谈谈感想

2022-11-30 13:25:23 +08:00

GaryLz

Passkeys 介绍

#Passkeys #通行密钥

• Passkeys （通行密钥）即 Fido 中用于 WebAuthn/FIDO2 凭证的新名称，可以实现完全的无密码体验

• Passkeys 是存储在设备上的数字凭证（私钥），可以让你在没有密码的情况下登录（存储有你对应公钥的）应用和网站。当使用 Passkeys 登录时，网站无法访问你的私钥，只能验证你是否拥有它，并且它对应于匹配的公钥

• 苹果在今年 6 月的 WWDC 上宣布 Passkeys 无密码登录，通过在 iCloud Keychain 中存储 Passkeys 密钥，并使用 Touch ID 或 Face ID 进行身份验证，在非苹果设备上用户可以使用 iPhone 扫描 QR 二维码实现

• Google 在 10 月的博客中宣布为 Android 和 Chrome 带来 Passkey 支持

• 1Password 宣布将于 2023 年年初开始支持 Passkeys ，并且推出了一个演示页面和维护了一个支持 Passkeys 的网站和应用目录：

✅ https://passkeys.directory

• 支持 Passkeys 的设备：iOS, MacOS, Android, Chrome, Windows, Yubikey • 支持 Passkeys 登录：Microsoft, PayPal • 支持 Passkeys 两步验证：Cloudflare, Google

• 少数派有一篇关于 Passkeys 的详细介绍 https://client.sspai.com/post/73937

✔️@DocOfCard

2476 次点击

所在节点

18 条回复

dacapoday

2022-11-30 13:31:22 +08:00

https://webauthn.io/
另外附加一个 duo 资助的 webauth 测试页面以及介绍。

GaryLz

2022-11-30 13:31:37 +08:00

现在不管电诈还是社工泛滥，传统密码验证已经满足不了需求。虽然各大互联网巨头已经把 2fa 、sms 强制验证，当作抵御传统密码攻击的常用工具。但是，这往往繁琐，所以出现了单独密码管理工具 app ，尽可能把这一过程自动化，简单化。

swulling

2022-11-30 13:34:54 +08:00

为啥不直接用客户端证书，也就是 Mutual TLS 。

GaryLz

2022-11-30 13:37:14 +08:00

这两年又出现很火的硬件级密钥 yubikey ，cf 为其背书，谷歌、苹果、twitter 也跟进，基于公私钥验证原理，正在往无密码方向走，可能是未来隐私安全发展趋势。

dacapoday

2022-11-30 13:38:01 +08:00

其实还是有局限性的，或者有待发展的。比如单账户多设备登陆，因为信任的是公钥，所以要么像苹果那样，iCloud 跨端同步 credential ，要么类似 github 有一个公钥管理界面。

cmdOptionKana

2022-11-30 13:39:11 +08:00

这个方案仍在方便与安全的不可兼得的规则之内。

但对于多数小白用户来说是好事，毕竟很多人只用简单密码或易猜密码、唯一密码。

GaryLz

2022-11-30 13:44:26 +08:00

所以，我想到一个 scenario ，以后人们可能只需要利用生物特征，比如指纹、人脸、眼球，或者是，硬件级密钥，就可以无密码登陆进去。

但是，结合最近很人心惶惶的“地铁被查手机”新闻，如果在人身安全无法得到保障的条件下，无密码验证，相比其他方案，真的是很好的选择嘛码？这点我很疑惑。

dacapoday

2022-11-30 13:53:42 +08:00

@GaryLz 如果按苹果现在的实现，本质上是密钥托管服务。passKeys 是服务具体实现所用的协议及格式，而且数据会上云，对于中国用户来说是云上贵州。而且目前用户实际上无法直接得到密钥数据文件，但是托管设施的监管者却可以。

tool2d

2022-11-30 14:07:14 +08:00

@dacapoday 你是不是搞错了，公钥上云怕什么? 随便看。

苹果的用户私钥一直是保存到本地手机里的。

dacapoday

2022-11-30 14:23:00 +08:00

@tool2d 使用这个 passkeys ，要开启钥匙串，且打开 icloud 。我自己本地搭建过 webauthn 的网站，用不同的苹果设备登陆，它提交的都是相同的公钥，那说明各设备间的私钥是通过网络互相同步的，而不是仅存在本地。

yao177

2022-11-30 14:28:02 +08:00

公司里就是 yubikey+okta ，但是这种 zero-trust 判断你异常后解锁就很麻烦了，又是申请又是找管理

SenLief

2022-11-30 14:33:37 +08:00

没有密码而是每次都过邮件登录或者验证发验证码这种安全性如何？

tool2d

2022-11-30 14:34:06 +08:00

@dacapoday "The server never learns what the private key is"

这句话是苹果官方文档里提到的，( https://support.apple.com/en-us/HT213305)，你别告诉我，苹果在骗我。

dacapoday

2022-11-30 14:59:28 +08:00

@tool2d 我理解这里的 server 指的是需要 auth 的网站。而不是苹果的 icloud 。而且这篇文档的下方，就是它在吹嘘通过 icloud 同步这些密钥多么靠谱。

tool2d

2022-11-30 15:29:09 +08:00

@dacapoday 又看了一下，好像你说的也对。

但问题是任何一个网络安全认证技术，都不可能让第三方服务器知道个人密码或密钥啊，那就并不能体现苹果这个新技术的优势了。

icloud 用户钥匙链同步服务器，对老美应该是严格加密的。对于你我来说，由于机房在国内，如果官方需要审核，那是不是加密，只有天知道了。

GaryLz

2022-11-30 18:52:13 +08:00

搭个楼，有人要 yubikey 么？可以看我另一个交易贴 🙈

piku

2022-11-30 22:43:42 +08:00

问题还是在于手机安全。比如把你打晕，然后用你的手指头按一下指纹

yolee599

2022-12-01 08:18:09 +08:00

@GaryLz 这种无法改变的生物特征更不安全，只要把你肉身控制住就行了

第 1 页／共 1 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/899058

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX