11月15日,微信海外版 WeChat 宣布面向 iOS 上线“通行密钥(Passkey)”功能。iOS 用户通过验证生物特征信息(如指纹、面容)来验证密钥对是否匹配,无需输入密码即可快速登录 WeChat。

而微软和苹果早在疫情期间就推出了通行密钥,苹果更是在今年秋季发布的iOS 18、iPadOS 18和macOS 15系统内,首次搭载一款专门管理密码的app。据了解,这款密码app将协助整合用户登录网站和软件,也代表Apple多年首次将让密码从系统设定移出,改为独立应用服务。iOS 18所新增的“密码管理”app主要是基于现有的iCloud钥匙圈服务运作,该服务能在不同设备之间同步密码和用户名,同时还能够支持从1Password和LastPass等第三方钥匙管理服务汇入帐号密码,也提供了更多的灵活性和便利性。

由于通行密钥具有易于使用和安全的特点,越来越受用户欢迎。10月13日,谷歌今天宣布安卓和 Chrome 浏览器带来初步的通行密钥支持。第一阶段让开发者通过使用 Google Play 服务 Beta 测试版和 Chrome Canary 来获得该技术,并让他们在其网站和应用程序中增加对该功能的支持。

谷歌希望在今年晚些时候向稳定频道推出对该功能的支持,届时一些开发者将把该技术纳入其产品。谷歌的下一个里程碑是将API 支持引入原生安卓应用。在他们的应用程序中建立支持的开发者将允许用户选择使用通行密钥或密码来登录。随着通行密钥的普及,创建和记住密码的需求将减少,这可能导致黑客入侵账户的情况减少。

什么是通行密钥

通行密钥消除了在各种网站和app上记不住不同密码的烦恼。对于那些不了解的人来说,通行密钥就是密码的替代品,其工作方式与手机在解锁前验证用户的方式相似,包括指纹扫描、人脸识别、图案解锁等。

通行密钥的核心目标是在传统的“用户名-密码”认证体系之外,探索一种更简洁、更直观但安全的身份验证方法。例如,如果你拥有一部配置了面容ID的iPhone,通过面容ID来解锁手机就能证实是你本人在操作,这种方式比输入登录凭证或自动填充登录信息更为迅速和自然。

具体到技术层面,通行密钥基于 FIDO 联盟和 W3C 标准,实际上摒弃了密码的概念,它采用非对称加密技术,取代了以往需要在服务器上加密存储的登录凭证。与传统的包含用户名和密码的认证数据不同,使用非对称加密技术时,用户设备会生成一对“公钥”和“私钥”,并将其中的一部分“公钥”提交给提供注册服务的服务器进行身份验证。

另外,通行密钥能有效提升登录速度,减少密码重设次数,还能降低支持成本。在用户登录 app 时,使用新的通行密钥升级 API 创建通行密钥,并让用户知道通行密钥已保存,所有这一切操作都不会打断用户体验。

不能把通行密钥和生物识别方式混为一谈

生物识别技术为了确保用户隐私安全,会将用户的生物数据以数字化特征的形式存储在芯片中,并用作一种密钥。每次验证用户身份时,系统会将用户生物信息生成的数字特征与芯片内存储的特征进行匹配,匹配成功即表示验证成功。

与服务器的交互有所不同,当Face ID功能被激活后,一旦芯片验证成功,系统会将生成的令牌发送至服务器。服务器利用预设的证书解密令牌,并验证令牌内容,包括用户ID和时间戳等信息。如果验证无误,服务器将向应用程序发放访问令牌。

从这一过程中可以看出,Face ID和Touch ID极度依赖于芯片,并且用户数据也存储在芯片中。这意味着每台设备都需要独立设置一个ID,并且与设备绑定。例如,你在手机上设置了指纹,电脑上也需要单独设置,不能将手机上的指纹直接用于电脑。

然而,通行密钥基于公钥和私钥对,一旦在手机上设置完成并通过iCloud同步到电脑上,电脑就无需再次设置。这样就不会遇到在app上使用Touch ID登录,但在网页版登录时仍需密码的情况。

简而言之,Face ID和Touch ID是一种结合设备和用户身份的验证方式,两者缺一不可。而通行密钥则是一种基于能够提供私钥的用户身份的验证方式,只关注你能否提供私钥。在安全性方面,前者更胜一筹,而在便利性方面,后者则远超前者。Face ID和Touch ID不能外借,而通行密钥则允许私钥的共享。

总结

随着移动互联网的发展,人均安装的App总量在今年3月已攀升至70个(来自月狐iApp数据),相较于去年同期增长了2个,这对密码的记忆难度加大了考验。但如果未来几年一切顺利,我们希望看到通行钥匙成为常态,届时密码将不再成为网上冲浪的阻碍。