使用密钥进行无密码登录

密钥

简介

使用通行密钥有助于替代密码,且更安全。借助通行密钥,用户可以使用生物识别传感器(例如指纹或人脸识别)、PIN 码或解锁图案登录应用和网站,这样用户就不必记住和管理密码。

开发者和用户都讨厌密码:他们给用户带来糟糕的体验,给他们带来转化障碍,给用户和开发者带来了安全负担。Android 和 Chrome 中的 Google 密码管理工具通过自动填充功能减少障碍;对于希望进一步提高转化率和安全性的开发者来说,通行密钥和身份联合是业内现代的方法。

通行密钥只需一步即可满足多重身份验证要求,替换密码和动态密码(例如 6 位数短信验证码),从而提供强大的保护以防范钓鱼式攻击,并避免短信或基于应用的一次性密码带来的用户体验。由于通行密钥是标准化的,因此这种单一实现方案可让用户跨不同浏览器和操作系统的所有用户设备获得无密码体验。

使用通行密钥更简单:

  • 用户可以选择一个帐号登录。无需输入用户名。
  • 用户可以使用设备的屏幕锁定方式(例如指纹传感器、人脸识别或 PIN 码)进行身份验证。
  • 创建并注册通行密钥后,用户可以无缝切换到新设备,并立即使用它而无需重新注册(这与在每部设备上进行设置的传统生物识别身份验证不同)。

使用通行密钥会更安全:

  • 开发者只能将公钥保存到服务器而不是密码,这意味着不法分子入侵服务器的价值会低得多,而且在发生入侵时,所需的清理也更少。
  • 通行密钥有助于保护用户免受钓鱼式攻击。通行密钥只能在他们注册的网站和应用中使用;用户无法诱骗在欺骗性网站上进行身份验证,因为浏览器或操作系统会处理验证。
  • 通行密钥有助于降低发送短信的成本,让短信更安全、更经济实惠地实现双重验证。

什么是通行密钥?

通行密钥是与用户帐号以及网站或应用相关联的数字凭据。借助通行密钥,用户可以在不输入用户名或密码的情况下进行身份验证,也不会提供任何其他身份验证因素。这项技术旨在替换密码等旧版身份验证机制

当用户想要登录使用通行密钥的服务时,他们的浏览器或操作系统将帮助他们选择并使用正确的通行密钥。这种体验与已保存的密码现在的运作方式类似。为确保只有合法的所有者才能使用通行密钥,系统会让其解锁设备。这可以使用生物识别传感器(例如指纹或人脸识别)、PIN 码或图案执行。

若要为网站或应用创建通行密钥,用户必须先向相应网站或应用注册。

  1. 转到应用并使用现有登录方法登录。
  2. 点击创建通行密钥按钮。
  3. 检查使用新通行密钥存储的信息。
  4. 使用设备屏幕解锁来创建通行密钥。

当用户返回这个网站或应用进行登录时,可以按以下步骤操作:

  1. 转到相应应用。
  2. 点按帐号名称字段即可在自动填充对话框中显示通行密钥列表。
  3. 选择他们的通行密钥。
  4. 使用设备屏幕解锁来完成登录。

用户的设备根据通行密钥生成签名。此签名用于验证源站和通行密钥之间的登录凭据。

无论通行密钥存储在何处,用户都可以使用通行密钥在任何设备上登录服务。例如,在手机上创建的通行密钥可用于在另外一台笔记本电脑上登录网站。

通行密钥是如何运作的?

通行密钥适用于操作系统基础架构,此密钥允许通行密钥管理器创建、备份密钥,并将该密钥提供给在操作系统上运行的应用。在 Android 上,通行密钥可以存储在 Google 密码管理器中,这样就可以在用户登录同一 Google 帐号的 Android 设备之间同步通行密钥。通行密钥在同步之前会在设备上进行安全加密,需要在新设备上解密。使用 Android OS 14 或更高版本的用户可以选择将通行密钥存储在兼容的第三方密码管理器中。

用户不限于只能在可使用的设备上使用通行密钥。登录手机时可以使用手机上可用的密钥,即使通行密钥未同步到笔记本电脑,只要手机在笔记本电脑附近且用户批准在手机上登录,即可使用密钥。由于通行密钥是基于 FIDO 标准构建的,因此所有浏览器都可以采用它们。

例如,用户在 Windows 计算机上的 Chrome 浏览器中访问 example.com。此用户之前在其 Android 设备上登录过 example.com 并生成一个通行密钥。在 Windows 计算机上,用户选择使用另一部设备上的通行密钥登录。这两个设备将连接,并且系统会在 Android 设备上提示用户批准使用其通行密钥,例如使用指纹传感器。执行此操作后,系统会在 Windows 计算机上登录您的帐号。请注意,通行密钥本身不会转移到 Windows 机器,因此 example.com 通常会主动在那里创建新的密钥。这样一来,用户下次登录时就不必再使用手机。如需了解详情,请参阅使用手机登录

谁在使用通行密钥?

许多服务已经在他们的系统中使用通行密钥。

亲自尝试

您可以在此演示中试用通行密钥: https://passkeys-demo.appspot.com/

隐私注意事项

  • 因为使用生物识别帐号登录可能会让用户误认为这正在向服务器发送敏感信息。实际上,生物识别材料绝不会离开用户的个人设备。
  • 通行密钥本身不允许跟踪用户在网站之间的用户或设备。同一个通行密钥绝不会用于多个网站。通行密钥协议经过精心设计,因此任何与网站共享的信息都不能用作跟踪途径。
  • 通行密钥管理器可保护通行密钥,防止未经授权的访问和使用。例如,Google 密码管理工具会对端到端的 Secret 密钥进行加密。只有用户才能访问和使用它们,即使已备份到 Google 服务器,Google 也无法使用它们来冒充用户。

安全注意事项

  • 通行密钥使用公钥加密。公钥加密能够降低潜在的数据泄露威胁。当用户使用网站或应用创建通行密钥时,此操作会在用户设备上生成公钥-私钥对。该网站仅存储公钥,但这对于攻击者来说毫无用处。攻击者无法从存储在服务器上的数据派生用户的私钥,完成身份验证需要用到这类数据。
  • 由于通行密钥与网站或应用的身份绑定,因此可以抵御钓鱼式攻击。浏览器和操作系统可确保通行密钥只能用于创建了这类密钥的网站或应用。这样用户就无需负责登录正版网站或应用。

接收通知

订阅 Google 通行密钥开发者简报,以接收有关通行密钥更新的通知。

后续步骤