谷歌已正式开始在其稳定版 Chrome 网络浏览器中推出对下一代无密码登录标准passkeys的支持。
“密码是密码和其他可钓鱼身份验证因素的明显更安全的替代品,”这家科技巨头的 Ali Sarraf说。“它们不能被重复使用,不会在服务器漏洞中泄漏,并保护用户免受网络钓鱼攻击。”
在谷歌开始在 Android、macOS 和 Windows 11 上测试该选项将近两个月后,第 108 版中提供了改进的安全功能。
密钥通过要求用户在登录期间通过使用生物识别技术解锁附近的 Android 或 iOS 设备来验证自己,从而避免了对密码的需求。然而,这要求网站使用WebAuthn API在其网站上构建密钥支持。
从本质上讲,该技术的工作原理是创建一个独特的加密密钥对,以便在帐户注册期间与应用程序或网站的帐户相关联。这些密钥之一,即公钥,存储在服务器中。另一方面,私钥永远不会离开生成密钥的设备。
在 Android 上,密钥被上传到 Google 密码管理器(或1Password或Dashlane等第三方)以防止锁定。密钥通过 iOS 和 macOS 上的 iCloud Keychain同步,而 Microsoft Windows 将于 2023 年提供支持。
谷歌软件工程师 Arnar Birgisson 曾在 2022 年 10 月指出:“备份密钥后,其私钥仅以加密形式上传,使用的加密密钥只能在用户自己的设备上访问。”
这个想法是为了保护谷歌的密钥,这样公司内部的流氓行为者就无法在没有访问私钥的情况下使用它们登录到相应的在线服务。
这家互联网和广告公司还有望提供一个新的 API 来为 Android 应用程序提供密钥支持。
