Google 向 Android 和 Chrome 推出 Passkey 无密码登录支持

谷歌周三正式推出了对 Android 和 Chrome 的下一代身份验证标准密码的支持。

这家科技巨头表示： “密码是密码和其他可仿冒身份验证因素的一种更安全的替代品。 ” “它们不能重复使用，不会泄露服务器漏洞，并保护用户免受网络钓鱼攻击。”

该功能于2022 年 5 月首次宣布，作为更广泛推动支持通用无密码登录标准的一部分。

Passkeys 由 FIDO 联盟建立并得到Apple 和 Microsoft的支持，旨在用存储在设备本地的唯一数字密钥替换标准密码。

为此，创建密码需要最终用户确认将用于登录在线服务的帐户，然后使用他们的生物特征信息或设备 密码。

在移动设备上登录网站也是一个简单的两步过程，需要选择帐户并在出现提示时显示他们的指纹、面部或屏幕锁定。

授权密钥的基本原理是一种称为公钥加密的机制，其中“秘密”私钥存储在用户的设备上，而公钥则由在线服务隐藏。

因此，在登录过程中，支持密码的平台使用公钥来验证来自私钥的签名，以确认用户的真实性。

每个用户帐户为在线服务生成的密钥私钥也在用户设备上使用受硬件保护的加密密钥进行静态加密。

密码最引人注目的优势在于它们也与浏览器和操作系统无关，这意味着 Android 用户可以使用 iOS 或 macOS 上的 Safari 或 Windows 上的 Chrome 浏览器登录启用密码的网站。

谷歌还指出，生成的密钥通过其密码管理器安全存储并同步到云端，以防止锁定，添加开发人员可以使用 WebAuthn API 在其网站上集成密钥支持。

谷歌软件工程师 Arnar Birgisson说： “备份密钥后，它的私钥只能以加密形式上传，使用的加密密钥只能在用户自己的设备上访问。 ”

“这可以保护密钥免受谷歌本身的攻击，或者例如谷歌内部的恶意攻击者。如果无法访问私钥，这样的攻击者就无法使用密钥登录其相应的在线帐户。”

这家互联网巨头进一步表示，它的目标是在 2022 年为原生 Android 应用程序发布一个 API，这将为用户提供一种选择密码或保存密码的标准化方式。