谷歌推广Passkey被质疑,无密码登录你敢用吗
在互联网中,密码无疑占据着十分重要的位置,毕竟它的存在保障了我们在网络上资产的安全。尽管密码对于任何人的重要性都极高,但奈何总有人对它漫不经心,以至于“123456”几乎年年都荣登年度最弱密码的称号。为此,谷歌等科技巨头联手搞了个“无密码”生态,目前谷歌也正在积极鼓励用户为账号设置Passkey(通行密钥)功能,以实现“淘汰密码”的目标。
然而曾经为谷歌提供咨询服务的技术专家Lauren Weinstein,近日却发文强烈批评他们推广Passkey的行为,并表示Passkey本身确实没有问题,但Passkey的中间认证环节却有着不可忽视的安全隐患。据悉,Lauren Weinstein在相关文章中表示,如果在酒吧里有人偷窥你输入的设备密码、然后借机偷走你的手机,这样解锁手机后就可以使用所有保存的Passkey。
想要了解为什么会有人认为Passkey不安全,首先自然需要了解Passkey到底是如何工作的。
密码作为一种安全防护手段,在信息技术逐步走向成熟的今天,如今已面临着失去效用的风险。无论互联网厂商如何苦心孤诣地劝导用户使用更复杂的密码,比如要求密码需要包含大小写英文字母、数字、字符,但密码被攻破的现象依旧层出不穷。
在算力成倍增加的情况下,现在就连大型企业也同样无法避免被黑客攻击,而互联网企业的数据库被攻破,进而导致大规模信息泄露的案例在过去十年间可以说是屡见不鲜。有鉴于此,寻求一个代替密码来完成对用户身份鉴权的工具,也成为了科技巨头们的一致期望。由于密码是一个证明“我是我”的工具,而要证明“我是我”其实并非只能依赖密码,指纹、虹膜等生物特质,以及U盾等实体设备就都可以实现。
谷歌的Passkey就是一个由一组密钥组成的登录验证文件,用户在注册Passkey后,只需输入自己的账户,然后使用手机或电脑的各种认证选项(如PIN码、指纹、面部识别等)即可登录,并且基于FIDO 2/WebAuthn标准的Passkey还支持跨平台使用。让而FIDO2则是由两个开放标准构建,分别是FIDO客户端身份验证协议(CTAP)和W3C标准WebAuthn。
简单来说,就是WebAuthn定义了一个标准的web API,并提供一个创建和管理公钥凭证的接口,可以与身份验证验证器通信。
Passkey的工作机制,就是在用户注册时生成一个新的密钥对,其中包含一个私钥和一个公钥。私钥会存储在设备上,并与在线服务的ID和域关联,而公钥则存储在谷歌服务器的在线服务数据库中,当用户试图访问在线服务时,谷歌就会使用API与身份验证者一起验证用户凭据。
问题就出在了这里,Passkey的本质是使用用户手机的指纹、面容,或Windows Hello验证、密码管理器,来代替谷歌账号的密码。那么如果作为中间介质的手机和PC本身就不安全呢?其实这并非杞人忧天,毕竟手机感染恶意软件、PC被木马攻击可以说是司空见惯的事情。
如果手机本身真的无懈可击,谷歌又为什么会为Android系统推出月度安全补丁,甚至要求手机厂商必须经常为智能手机推送安全更新呢。
而Passkey的另外一个问题,就是一旦Passkey本身丢失,将会导致用户被谷歌服务拒之门外。
根据谷歌方面的说法, Passkey在Windows、Android、iOS上是不能转移、修改和读取的,也就是说一旦生成,这个Passkey就会绑定在对应的设备上,如果重装系统就需要重新生成并绑定Passkey。然而,并非所有的用户在创建Passkey时都会设置备用方案,那么一旦重装系统或丢失手机后没有了Passkey,就会出现无法访问账户的情况,并且谷歌也无法提供额外的账户恢复办法。
有这样的担忧其实也很正常,毕竟确实有大量的用户还在使用着“123456”或“password”来作为密码。不过即便有一定的风险存在,Passkey的推广也相当有意义。因为现在的情况是在谷歌数以亿计的用户中,使用弱密码、并且在各种服务中使用同一套密码的现象过于泛滥,而Passkey在淘汰密码这件事上的重要性几乎无可替代。
或许在谷歌看来,淘汰已经落后于时代的传统密码所带来的收益,要远比Passkey可能存在的安全风险和用户使用体验下降带来的损失大得多。而且一旦Passkey迎来普及,用户因为弱密码而导致的个人隐私和财产损失就会大幅减少,所以完全没有必要因噎废食。