V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
GaryLz
V2EX  ›  分享发现

转帖 未来趋势-无密码体验 谈谈感想

  •  
  •   GaryLz · 2022-11-30 13:25:23 +08:00 · 2737 次点击
    这是一个创建于 734 天前的主题,其中的信息可能已经有所发展或是发生改变。

    Passkeys 介绍

    #Passkeys #通行密钥

    • Passkeys (通行密钥)即 Fido 中用于 WebAuthn/FIDO2 凭证的新名称,可以实现完全的无密码体验

    • Passkeys 是存储在设备上的数字凭证(私钥),可以让你在没有密码的情况下登录(存储有你对应公钥的)应用和网站。当使用 Passkeys 登录时,网站无法访问你的私钥,只能验证你是否拥有它,并且它对应于匹配的公钥

    • 苹果在今年 6 月的 WWDC 上 宣布 Passkeys 无密码登录,通过在 iCloud Keychain 中存储 Passkeys 密钥,并使用 Touch ID 或 Face ID 进行身份验证,在非苹果设备上用户可以使用 iPhone 扫描 QR 二维码实现

    • Google 在 10 月的博客中 宣布 为 Android 和 Chrome 带来 Passkey 支持

    • 1Password 宣布将于 2023 年年初开始支持 Passkeys ,并且推出了一个 演示页面 和维护了一个支持 Passkeys 的网站和应用目录:

    https://passkeys.directory

    • 支持 Passkeys 的设备:iOS, MacOS, Android, Chrome, Windows, Yubikey • 支持 Passkeys 登录:Microsoft, PayPal • 支持 Passkeys 两步验证:Cloudflare, Google

    • 少数派有一篇关于 Passkeys 的详细介绍 https://client.sspai.com/post/73937

    ✔️@DocOfCard

    18 条回复    2022-12-01 08:18:09 +08:00
    dacapoday
        1
    dacapoday  
       2022-11-30 13:31:22 +08:00
    https://webauthn.io/
    另外附加一个 duo 资助的 webauth 测试页面以及介绍。
    GaryLz
        2
    GaryLz  
    OP
       2022-11-30 13:31:37 +08:00
    现在不管电诈还是社工泛滥,传统密码验证已经满足不了需求。虽然各大互联网巨头已经把 2fa 、sms 强制验证,当作抵御传统密码攻击的常用工具。但是,这往往繁琐,所以出现了单独密码管理工具 app ,尽可能把这一过程自动化,简单化。
    swulling
        3
    swulling  
       2022-11-30 13:34:54 +08:00
    为啥不直接用客户端证书,也就是 Mutual TLS 。
    GaryLz
        4
    GaryLz  
    OP
       2022-11-30 13:37:14 +08:00
    这两年又出现很火的硬件级密钥 yubikey ,cf 为其背书,谷歌、苹果、twitter 也跟进,基于公私钥验证原理,正在往无密码方向走,可能是未来隐私安全发展趋势。
    dacapoday
        5
    dacapoday  
       2022-11-30 13:38:01 +08:00
    其实还是有局限性的,或者有待发展的。比如单账户多设备登陆,因为信任的是公钥,所以要么像苹果那样,iCloud 跨端同步 credential ,要么类似 github 有一个公钥管理界面。
    cmdOptionKana
        6
    cmdOptionKana  
       2022-11-30 13:39:11 +08:00
    这个方案仍在方便与安全的不可兼得的规则之内。

    但对于多数小白用户来说是好事,毕竟很多人只用简单密码或易猜密码、唯一密码。
    GaryLz
        7
    GaryLz  
    OP
       2022-11-30 13:44:26 +08:00
    所以,我想到一个 scenario ,以后人们可能只需要利用生物特征,比如指纹、人脸、眼球,或者是,硬件级密钥,就可以无密码登陆进去。

    但是,结合最近很人心惶惶的“地铁被查手机”新闻,如果在人身安全无法得到保障的条件下,无密码验证,相比其他方案,真的是很好的选择嘛码?这点我很疑惑。
    dacapoday
        8
    dacapoday  
       2022-11-30 13:53:42 +08:00
    @GaryLz 如果按苹果现在的实现,本质上是 密钥托管服务。passKeys 是服务具体实现所用的协议及格式,而且数据会上云,对于中国用户来说是云上贵州。而且目前用户实际上无法直接得到密钥数据文件,但是托管设施的监管者却可以。
    tool2d
        9
    tool2d  
       2022-11-30 14:07:14 +08:00
    @dacapoday 你是不是搞错了,公钥上云怕什么? 随便看。

    苹果的用户私钥一直是保存到本地手机里的。
    dacapoday
        10
    dacapoday  
       2022-11-30 14:23:00 +08:00
    @tool2d 使用这个 passkeys ,要开启钥匙串,且打开 icloud 。我自己本地搭建过 webauthn 的网站,用不同的苹果设备登陆,它提交的都是相同的公钥,那说明各设备间的私钥是通过网络互相同步的,而不是仅存在本地。
    yao177
        11
    yao177  
       2022-11-30 14:28:02 +08:00
    公司里就是 yubikey+okta ,但是这种 zero-trust 判断你异常后解锁就很麻烦了,又是申请又是找管理
    SenLief
        12
    SenLief  
       2022-11-30 14:33:37 +08:00 via iPhone
    没有密码而是每次都过邮件登录或者验证发验证码这种安全性如何?
    tool2d
        13
    tool2d  
       2022-11-30 14:34:06 +08:00
    @dacapoday "The server never learns what the private key is"

    这句话是苹果官方文档里提到的,( https://support.apple.com/en-us/HT213305),你别告诉我,苹果在骗我。
    dacapoday
        14
    dacapoday  
       2022-11-30 14:59:28 +08:00
    @tool2d 我理解这里的 server 指的是 需要 auth 的网站。而不是苹果的 icloud 。而且这篇文档的下方,就是它在吹嘘通过 icloud 同步这些密钥多么靠谱。
    tool2d
        15
    tool2d  
       2022-11-30 15:29:09 +08:00
    @dacapoday 又看了一下,好像你说的也对。

    但问题是任何一个网络安全认证技术,都不可能让第三方服务器知道个人密码或密钥啊,那就并不能体现苹果这个新技术的优势了。

    icloud 用户钥匙链同步服务器,对老美应该是严格加密的。对于你我来说,由于机房在国内,如果官方需要审核,那是不是加密,只有天知道了。
    GaryLz
        16
    GaryLz  
    OP
       2022-11-30 18:52:13 +08:00
    搭个楼,有人要 yubikey 么?可以看我另一个交易贴 🙈
    piku
        17
    piku  
       2022-11-30 22:43:42 +08:00 via Android
    问题还是在于手机安全。比如把你打晕,然后用你的手指头按一下指纹
    yolee599
        18
    yolee599  
       2022-12-01 08:18:09 +08:00 via Android
    @GaryLz 这种无法改变的生物特征更不安全,只要把你肉身控制住就行了
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1007 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 21:19 · PVG 05:19 · LAX 13:19 · JFK 16:19
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.