2023年10月10日,Google宣布了一项重要更新:即日起,密钥登录“PassKey”将取代密码登录“Password”,被设置为个人账户登录的默认选项。

(图源:Google)‌‌

用户可以使用Google帐户中的“Skip password when possible”(尽可能跳过密码)提示来注册密钥。Google表示,系统将提示Google帐户持有者创建密钥并将其用作默认登录方式。

(关于Google此次更新的详细内容可在《Google昨日更新:“密钥登录”作为个人账户登录的默认选项》中查看)

早在去年5月,Google便和苹果、微软宣布计划支持FIDO无密码登录,也就是密钥登录。

据悉,FIDO(Fast Identity Online)联盟是一个跨行业的组织,旨在减少依赖传统密码的风险,提供更安全、更便捷的用户身份验证解决方案。该联盟制定了一套开放标准和技术规范,支持新一代的身份验证方法,用户可以使用生物特征(如指纹、面部扫描)或屏幕锁定的PIN码等身份验证方式来登录各种在线服务,而无需记忆复杂的密码。

(图源:Google)‌‌

对于密钥登录,Google放言,密钥的推出标志着密码“终结的开始”。那么,密钥登录为什么会被认为将取代密码登录?

主要是因为密钥登录具有更高的安全性与便捷性。一方面,密钥登录采用了基于公钥密码学的加密技术,为用户提供了更高级别的安全保护。与传统的密码登录方式相比,密钥登录几乎无法受到钓鱼攻击、密码破解和中间人攻击等常见的安全威胁。

另一方面,对于用户而言极具友好性。在当下的互联网时代,几乎每个人都拥有数十个账户,多个账户往往会带来管理的难题,如:是否都采用同一个密码登录?如果都不相同,记忆这些大量的密码又会成为一大挑战。

如何在保障安全的前提下管理大批账号?与记住和管理多个复杂密码相比,使用密钥登录简单且方便,用户无需记忆一系列复杂的密码。相反,他们只需要管理一个密钥或一组密钥,这些密钥可以用于多个账号和服务。这种集中管理的方法不仅减少了用户需要处理的密码数量,还降低了遗忘密码、输入错误密码和被黑客破解密码的风险。

可见,密钥登录是面向未来数字身份验证的最佳创新实践。

作为站在网络安全产业前沿的企业,一直以来,亚数TrustAsia也将密钥登录拓展为重点发力方向之一,研发并推出了“WeKey”数字身份认证产品。

WeKey专注于数字身份认证,即无密码身份验证,致力于提高身份认证的安全性、隐私性、可靠性。WeKey产品由三部分组成:

WeKey FIDO App:一个可以利用手机生物识别作为认证方式的FIDO2终端应用

WeKey S/MIME工具:支持邮件系统、邮件网关、WebMail方便地使用S/MIME证书进行签名,以解决诈骗邮件、钓鱼邮件等邮件安全方面的问题

协同签名系统:WeKey协同签名系统以智能移动终端作为签名设备,面向移动端应用提供简便易用、安全合规的电子签名服务

在产品功能上,WeKey具有以下五点功能:

(1)快速支持WebAuthn认证

·WeKey提供基于SaaS平台化的FIDO Server,该FIDO Server支持目前FIDO协议中的所有功能,通过配置化实现多租户不同需求的不同特性

·WeKey开放了OpenAPI,通过HTTPS请求即可实现WebAuthn认证

(2)无限扩展安全密钥

·WeKey App可以完全替代硬件安全密钥,并且支持更多功能

·它基于手机内部自带的安全芯片(Secure Element)实现私钥的安全不可导出,保障其安全性

·相较于硬件安全密钥更不容易丢失,功能可扩展性更强

(3)可迁移的FIDO凭证

·WeKey App提供了基于云端HSM的凭证生成过程,无需担心手机丢失带来的账户无法认证的问题

(4)更多场景的支持

·FIDO协议中原生支持三种数据传输方式:NFC、BLE、USB,需要硬件支持

·WeKey App通过特有的安全架构,可以使没有NFC、BLE、USB的硬件系统支持WebAuthn认证

·也可以设置基于蓝牙距离强验证方式

(5)企业安全密钥面板

·WeKey提供企业级安全密钥控制面板,您可以即时针对员工的安全密钥做出相关操作,保障企业内部账户安全

此外,WeKey围绕FIDO体系开发出的两款产品:WeKey FIDO App和WeKey FIDO Server,皆获得了FIDO2® Authenticator for Android、FIDO2® Server、FIDO2® Authenticator for iOS认证。

除却WeKey,亚数TrustAsia的CertCloud数字证书云管平台很早便已支持FIDO密钥登录

同时,更进一步,在当前国密算法应用普及的趋势下,亚数TrustAsia还推出了基于WebAuthn协议的国密算法身份认证的解决方案,旨在保障认证流程的安全性,便捷地拓展可信身份在各终端设备中的使用,尤其是在Web客户端。并申请了相关专利:《一种基于WebAuthn协议的国密算法身份认证系统、方法和装置》

亚数TrustAsia深知身份信息的重要性,因此致力于研发高效可靠的安全解决方案,以保护用户的隐私和数据安全可控。亚数TrustAsia深信,只有在用户身份得到充分保障的前提下,数字世界才能更加安全和可信。

未来,亚数TrustAsia将通过持续的技术创新为用户提供安全可靠的数字身份认证解决方案,为用户带来更加安全和便捷的数字身份认证服务体验。