使用密钥进行无密码登录

密钥

简介

密钥可以更安全、更方便地替代密码。借助通行密钥,用户可以使用生物识别传感器(例如指纹或人脸识别)、PIN 码或图案登录应用和网站,从而无需记住和管理密码。

只需一个步骤,密钥即可取代密码和第二重身份验证。用户体验就像自动填充密码表单一样简单。与短信或基于应用的动态密码不同,通行密钥有助于防范钓鱼式攻击。由于通行密钥是标准化的,因此单个实现可以在不同的浏览器和操作系统中实现无密码体验。

什么是密钥?

通行密钥是与用户帐号以及网站或应用相关联的数字凭据。借助密钥,用户可以在不输入用户名、密码或提供任何其他身份验证因素的情况下进行身份验证。此技术旨在替换密码等旧版身份验证机制

如果用户想要登录使用密钥的服务,他们的浏览器或操作系统将帮助他们选择并使用正确的密钥。其体验与目前保存的密码的工作方式类似。为确保只有合法的所有者可以使用密钥,系统会要求他们解锁设备。这可以使用生物识别传感器(例如指纹或人脸识别)、PIN 码或图案来执行。

若要为网站或应用创建密钥,用户必须先在该网站或应用中注册。当用户返回该网站或应用登录时,可以执行以下步骤:

  1. 转到该应用。
  2. 点击登录
  3. 选择密钥。
  4. 使用设备屏幕解锁才能完成登录。

用户的设备会根据密钥生成签名。此签名用于验证源站与通行密钥之间的登录凭据。

无论密钥存储在什么位置,用户都可以使用通行密钥在任何设备上登录服务。例如,在手机上创建的密钥可以用来在另一台笔记本电脑上登录网站。

通行密钥的工作原理

通行密钥旨在用于通过一种运营商基础架构,该密钥允许通行密钥管理器创建、备份密钥并在该操作系统上运行的应用上使用。在 Android 版 Chrome 中,通行密钥存储在 Google 密码管理器中,该管理器会在已登录同一 Google 帐号的用户的 Android 设备之间同步密钥。

用户并非只能使用存储其密钥的设备中的密钥;当用户登录笔记本电脑时,只要密钥位于笔记本电脑附近,并且用户在手机上批准了登录,便可使用存储在手机上的密钥。由于密钥是基于 FIDO 标准构建的,因此所有浏览器都可以采用它们。

例如,某用户在其 Chromebook 上访问“example.com”。此用户之前在其 iOS 设备上登录了 example.com 并生成了密钥。在 Chromebook 上,用户选择使用另一部设备上的密钥进行登录。两台设备将建立连接,并提示用户在 iOS 设备上(如通过 Face ID)使用其密钥。确认完毕后,他们就可以在 Chromebook 上登录了。请注意,通行密钥本身不会转移到 Chromebook,因此通常 example.com 会要求在那里创建新密钥。这样,用户下次想要登录时就不需要使用该手机。如需了解详情,请参阅使用手机登录

密钥同步

隐私注意事项

  • 如果网站或应用中突然出现生物识别身份验证功能,并认为这发送敏感信息给服务器,可能会令用户感到惊讶。在使用密钥时,用户的生物识别信息绝不会透露给网站或应用,生物识别数据绝不会离开用户的个人设备。
  • 单独使用密钥不允许跟踪用户或网站之间的网站。同一密钥绝不会用于多个网站。密钥协议经过精心设计,因此不能将与网站共享的信息用作跟踪矢量。
  • 通行密钥管理器可以保护通行密钥,防止未经授权的访问和使用。例如,Google 密码管理器会对端到端密钥进行加密。只有用户才能访问和使用它们,即使它们已备份到 Google 的服务器,Google 也无法用它们来冒充用户。

安全注意事项

  • 密钥使用公钥加密。公钥加密可以降低潜在的数据泄露威胁。当用户使用网站或应用创建密钥时,此操作会在用户设备上生成公钥-私钥对。该网站只存储公钥,但仅使用公钥对于攻击者无用。攻击者无法从服务器中存储的数据中获取用户的私钥,而这是完成身份验证所必需的。
  • 由于通行密钥与网站或应用的身份绑定,因此能够抵御钓鱼式攻击。浏览器和操作系统可确保通行密钥只能用于生成通行密钥的网站或应用。这样一来,用户就不必负责登录真实的网站或应用。

接收通知

订阅 Google 通行密钥开发者简报,以便接收有关通行密钥更新的通知。

后续步骤