在互聯網中,密碼無疑占據着十分重要的位置,畢竟它的存在保障了我們在網絡上資産的安全。盡管密碼對于任何人的重要性都極高,但奈何總有人對它漫不經心,以至于 "123456" 幾乎年年都榮登年度最弱密碼的稱号。爲此,谷歌等科技巨頭聯手搞了個 " 無密碼 " 生态,目前谷歌也正在積極鼓勵用戶爲賬号設置 Passkey(通行密鑰)功能,以實現 " 淘汰密碼 " 的目标。
然而曾經爲谷歌提供咨詢服務的技術專家 Lauren Weinstein,近日卻發文強烈批評他們推廣 Passkey 的行爲,并表示 Passkey 本身确實沒有問題,但 Passkey 的中間認證環節卻有着不可忽視的安全隐患。據悉,Lauren Weinstein 在相關文章中表示,如果在酒吧裏有人偷窺你輸入的設備密碼、然後借機偷走你的手機,這樣解鎖手機後就可以使用所有保存的 Passkey。
想要了解爲什麽會有人認爲 Passkey 不安全,首先自然需要了解 Passkey 到底是如何工作的。
密碼作爲一種安全防護手段,在信息技術逐步走向成熟的今天,如今已面臨着失去效用的風險。無論互聯網廠商如何苦心孤詣地勸導用戶使用更複雜的密碼,比如要求密碼需要包含大小寫英文字母、數字、字符,但密碼被攻破的現象依舊層出不窮。
在算力成倍增加的情況下,現在就連大型企業也同樣無法避免被黑客攻擊,而互聯網企業的數據庫被攻破,進而導緻大規模信息洩露的案例在過去十年間可以說是屢見不鮮。有鑒于此,尋求一個代替密碼來完成對用戶身份鑒權的工具,也成爲了科技巨頭們的一緻期望。由于密碼是一個證明 " 我是我 " 的工具,而要證明 " 我是我 " 其實并非隻能依賴密碼,指紋、虹膜等生物特質,以及 U 盾等實體設備就都可以實現。
谷歌的 Passkey 就是一個由一組密鑰組成的登錄驗證文件,用戶在注冊 Passkey 後,隻需輸入自己的賬戶,然後使用手機或電腦的各種認證選項(如 PIN 碼、指紋、面部識别等)即可登錄,并且基于 FIDO 2/WebAuthn 标準的 Passkey 還支持跨平台使用。讓而 FIDO2 則是由兩個開放标準構建,分别是 FIDO 客戶端身份驗證協議 ( CTAP ) 和 W3C 标準 WebAuthn。
簡單來說,就是 WebAuthn 定義了一個标準的 web API,并提供一個創建和管理公鑰憑證的接口,可以與身份驗證驗證器通信。
Passkey 的工作機制,就是在用戶注冊時生成一個新的密鑰對,其中包含一個私鑰和一個公鑰。私鑰會存儲在設備上,并與在線服務的 ID 和域關聯,而公鑰則存儲在谷歌服務器的在線服務數據庫中,當用戶試圖訪問在線服務時,谷歌就會使用 API 與身份驗證者一起驗證用戶憑據。
問題就出在了這裏,Passkey 的本質是使用用戶手機的指紋、面容,或 Windows Hello 驗證、密碼管理器,來代替谷歌賬号的密碼。那麽如果作爲中間介質的手機和 PC 本身就不安全呢?其實這并非杞人憂天,畢竟手機感染惡意軟件、PC 被木馬攻擊可以說是司空見慣的事情。
如果手機本身真的無懈可擊,谷歌又爲什麽會爲 Android 系統推出月度安全補丁,甚至要求手機廠商必須經常爲智能手機推送安全更新呢。
而 Passkey 的另外一個問題,就是一旦 Passkey 本身丢失,将會導緻用戶被谷歌服務拒之門外。
根據谷歌方面的說法, Passkey 在 Windows、Android、iOS 上是不能轉移、修改和讀取的,也就是說一旦生成,這個 Passkey 就會綁定在對應的設備上,如果重裝系統就需要重新生成并綁定 Passkey。然而,并非所有的用戶在創建 Passkey 時都會設置備用方案,那麽一旦重裝系統或丢失手機後沒有了 Passkey,就會出現無法訪問賬戶的情況,并且谷歌也無法提供額外的賬戶恢複辦法。
有這樣的擔憂其實也很正常,畢竟确實有大量的用戶還在使用着 "123456" 或 "password" 來作爲密碼。不過即便有一定的風險存在,Passkey 的推廣也相當有意義。因爲現在的情況是在谷歌數以億計的用戶中,使用弱密碼、并且在各種服務中使用同一套密碼的現象過于泛濫,而 Passkey 在淘汰密碼這件事上的重要性幾乎無可替代。
或許在谷歌看來,淘汰已經落後于時代的傳統密碼所帶來的收益,要遠比 Passkey 可能存在的安全風險和用戶使用體驗下降帶來的損失大得多。而且一旦 Passkey 迎來普及,用戶因爲弱密碼而導緻的個人隐私和财産損失就會大幅減少,所以完全沒有必要因噎廢食。
【本文圖片來自網絡】
