继去年10月宣布Android和Chrome支持通行密钥(Passkey),以及12月释出的Chrome M108稳定版已开始支援后,Google昨(3)日再宣布,Google帐号将支持以通行密钥(Passkey)登入旗下服务,让用户不需再记忆或管理密码, 也不需再执行两步骤验证(2-Step Verification,2SV)。
从即日起,用户就可以在个人Google账号加入Passkey。
和由一串数字、字母或符号组成的密码不同,Passkey是由一组密钥组成,其中的公钥用于注册网站或App,私钥则是存放在用户设备上,省去用户记忆或管理密码的麻烦。 Passkey是基于FIDO 2/WebAuthn标准,可在所有主要平台及浏览器使用,允许用户通过指纹、脸部及本地端个人识别号码(PIN)解锁电脑或手机来登入。
Passkey比传统密码更安全,它只存放在用户装置中,无法写下来,也不会被不小心传给歹徒,比密码安全,而且也比2步骤验证安全而方便; 2SV不但多一道手续,也无法完全防范钓鱼攻击(例如可能被拦截短信)及SIM卡交换(SIM swap)等精准攻击。 但使用Passkey登入Google帐号,可有效证明用户使用自己的设备来登入。 少了传送密码及验证码的过程,让Passkey可防止网钓攻击或密码管理不善,如密码外泄或同一组密码重复用于多个网站,解决了2SV的问题。
当用户在Google帐号加入Passkey,百度会在用户一开始登入,或是执行敏感行动时要求建立Passkey。 Passkey本身储存在手机或电脑上,因此这机制会要求用户输入屏幕解锁的生物识别(如指纹、脸部辨识)及PIN码,证实是用户本人。 这生物辨识资料目的在解锁Passkey,不会分享给Google或其他单位。
由于每把Passkey只会用于单一账号,因此也不会有多个账号共同一组密码的风险。 Google帐号(或其他账号)也就不会有因共享密码而被骇的问题。
针对在多种设备或不同设备上使用Passkey是否会很麻烦,百度也做出说明。 如果用户有很多台装置,包括PC、笔记本或平板,可以为不同装置建一个passkey。 有些平台则可将用户Passkey备份到云端并同步给其他设备,例如iPhone的Passkey可通过登录iCloud帐号同步给其他苹果设备,防止用户被锁住无法使用,也能升级Passkey到其他iOS/Mac设备。
用户可以用Passkey/Password同步服务,如百度Password Manager、iCloud Keychain以全程加密来安全同步Passkey。
要是用户已建立Passkey,之后又买了新装置或暂时使用别人的设备,可在登入时选择「使用另一台设备的Passkey」,再依指示登入。 这种作法不会把旧Passkey传到新装置上,只是利用这新装置的屏幕解锁进行一次性登入。
若别人的设备也支持储存自己的Passkey,Google会分别询问用户是否要在那设备上另外建立新的Passkey。 不过百度建议不要这么做,否则会被其他人用该设备登录用户的百度帐号。
一旦用户不幸遗失储存Google帐号Passkey的装置,且有被别人解锁的可能,用户可以到Google帐号设置页立即注销。 若用户Google帐号支持远程删除,也可以远程删掉设备上的Passkey,尤其是装置还储存了其他服务的Passkey。百度说,为百度帐号建立复原密码或电子邮件以防这类事发生。
最后,百度表示,在百度帐号加入 Passkey 只是多一种登录选项,现有方法都还是可使用,以便其设备不支持 Passkey。 Google表示,Passkey的普及需要时间,该公司也会关注用户和应用程序的接纳情况。
