使用密钥进行无密码登录

密钥

简介

密钥可以更安全、更轻松地取代密码。借助密钥,用户可以使用生物识别传感器(例如指纹或人脸识别)、PIN 码或图案登录应用和网站,而无需记住和管理密码。

只需一步,一个密钥即可取代密码和第二重身份验证。用户体验可能像自动填充密码表单一样简单。与短信或基于应用的动态密码不同,密钥可为钓鱼式攻击提供强大的保护。由于密钥是标准化的,因此单个实现可以在不同浏览器和操作系统中实现无密码体验。

什么是密钥?

密钥是与用户帐号以及网站或应用相关联的数字凭据。借助密钥,用户无需输入用户名、密码或提供任何其他身份验证因素,即可进行身份验证。该技术旨在取代密码等旧版身份验证机制

当用户想要登录使用密钥的服务时,他们的浏览器或操作系统将帮助他们选择和使用正确的密钥。这种体验与目前保存的密码的工作方式类似。为确保只有合法的所有者可以使用密钥,系统会要求他们解锁设备。这可以通过生物识别传感器(例如指纹或人脸识别)、PIN 码或图案来执行。

如需为网站或应用创建密钥,用户必须先向该网站或应用注册。当用户返回此网站或应用进行登录时,他们可以执行以下步骤:

  1. 转到相应应用。
  2. 点击登录
  3. 选择密钥。
  4. 使用设备屏幕解锁功能完成登录。

用户的设备会根据密钥生成签名。此签名用于验证源站和密钥之间的登录凭据。

无论密钥存储在何处,用户都可以使用密钥在任何设备上登录服务。例如,在手机上创建的密钥可用于在另一台笔记本电脑上登录网站。

密钥是如何运作的?

密钥旨在通过操作系统基础架构使用,该基础架构允许密钥管理器创建、备份密钥,并将该密钥提供给在该操作系统上运行的应用。在 Android 版 Chrome 中,密钥存储在 Google 密码管理器中,Google 密码管理器可在已登录同一 Google 帐号的用户的 Android 设备之间同步密钥。

用户并非只能使用存储它们的设备。存储在手机上的密钥可以在登录笔记本电脑时使用,即使密钥未同步到笔记本电脑也是如此,只要手机靠近笔记本电脑并且用户批准在手机上登录即可。由于密钥是基于 FIDO 标准构建的,因此所有浏览器都可以采用它们。

例如,某位用户在 Chromebook 上访问了 site.example。此用户之前在其 iOS 设备上登录了 site.example 并生成了密钥。在 Chromebook 上,用户选择使用其他设备上的密钥登录。两台设备将连接,并提示用户在 iOS 设备上批准使用其密钥(例如使用 Face ID)。执行此操作后,他们会在 Chromebook 上登录。请注意,密钥本身不会转移到 Chromebook,因此 site.example 通常会主动询问是否创建新的密钥。这样,用户下次登录时就不需要使用手机了。如需了解详情,请参阅使用手机登录

密钥同步

隐私注意事项

  • 如果生物识别身份验证机制突然出现在网站或应用上,并认为这会向服务器发送敏感信息,有些用户可能会感到惊讶。使用密钥时,用户的生物识别信息绝不会透露给网站或应用。生物识别材料绝不会离开用户的个人设备。
  • 密钥本身不能跟踪网站之间的用户或设备。同一密钥只能用于多个网站。密钥协议经过精心设计,因此任何与网站共享的信息都不能用作跟踪矢量。
  • 密钥管理器可保护密钥免遭未经授权的访问和使用。例如,Google 密码管理器会对端到端的密文进行加密。只有用户才能访问和使用它们。即使备份到 Google 服务器,Google 也无法使用它们冒充用户。

安全注意事项

  • 密钥使用公钥加密。公钥加密可以减少潜在的数据泄露造成威胁。当用户使用网站或应用创建密钥时,系统会在用户的设备上生成一个公钥/私钥对。网站仅存储公钥,但单独的密钥对攻击者毫无用处。攻击者无法从服务器中存储的数据中获取用户的私钥,这是完成身份验证所必需的。
  • 由于密钥绑定在网站或应用上,因此可以避免遭受网上诱骗攻击。浏览器和操作系统可确保密钥只能与创建它们的网站或应用一起使用。这样一来,用户就无需负责登录正版网站或应用。

接收通知

订阅 Google 密钥开发者简报,接收有关密钥更新的通知。