Passkeys 是個新一代的登入驗證方式,不需輸入密碼且快速。在先前的密碼時代,通常都需要再登入時輸入密碼,安全一點的話加上兩步驟驗證,需要額外輸入一個一次性的驗證碼。密碼常常記不住,所以我們也創造了很多協助記憶密碼的工具。但這次的 Passkeys 極具未來感,有機會成為人類記不住密碼的救星。
實際登入流程
Passkeys 的登入步驟會需要你再登入網站的時候,拿出手機操作。即使弄丟手機,也有方式利用新手機從雲端取回先前的資料,繼續用新手機來做 Passkeys 。
先前的解法
我印象中 Passkey 推出之前,最新的做法仍然是要輸入密碼,並且有兩階段驗證 (在行動裝置中按個按鈕)。其實不能說很不方便,但因為通常 Google 密碼都自動記住,不常用還真的會忘記。
Passkeys 使用
可以到 Passkeys 設定頁面,加入你的手機裝置。我在 Mac 上也可設定 Passkeys 。以後按個指紋就可以登入了。
實際原理
Passkey 利用了 Asymmetric Encryption 。會在裝置上存放 private key ,並上傳 Public key 給 Google 。在實際登入時候會需要先過裝置這關 (人臉辨識,驗指紋,或是打密碼) ,之後裝置會使用 priavate key 簽署 (加密並 hash) 一些資訊。
The main ingredient of a passkey is a cryptographic private key – this is what is stored on your devices. When you create one, the corresponding public key is uploaded to Google. When you sign in, we ask your device to sign a unique challenge with the private key. Your device only does so if you approve this, which requires unlocking the device. We then verify the signature with your public key.
https://security.googleblog.com/2023/05/so-long-passwords-thanks-for-all-phish.html
值得一提的是,當他要綁定在多台裝置的時候,有個條件是新裝置與舊裝置之間要距離夠近,近到可以用藍芽作為新增其他 passkey 裝置的必要手段。由於藍芽傳輸距離有限,相比用照片或是 qrcode 的方式,這個方式可以避免有人在遙遠的地方嘗試破解你帳號。
Leave a Reply