freebuf
本文来源:
苹果、Google 和微软正在发起一项“联合行动”,目标是“干掉”密码。主流操作系统供应商希望扩大对 FIDO 联盟和万维网联盟创建的通用无密码登录标准的支持。该标准被称为“多设备 FIDO 凭证”或简单称为“Passkey”。新方案并没有采用一长串字符,而是让你正在登录的应用或网站向你的手机推送请求进行身份验证。你需要解锁手机,通过某种密码或者生物特征进行身份验证,然后开始使用。对任何一个已在使用手机双因素身份认证功能的人来说,这个系统听起来有些熟悉,但它是密码的替代品,而不是增加了一个因素。一些推送双因素身份认证系统通过互联网工作,但是这种新的 FIDO 方案使用的是蓝牙。正如白皮书所解释的那样,“蓝牙需要物理接近,这意味着现在我们在身份验证期间,可以用一种能防范网络钓鱼的方式使用用户的手机。”蓝牙在兼容性方面的口碑很糟糕,我不确定“安全性”是否一直是一个真正的问题,但是FIDO联盟说的是蓝牙只能“在物理接近的情况下验证”,而实际登录过程“并不依靠蓝牙的安全属性”。当然这意味着两台设备都需要有蓝牙功能,大多数智能手机和笔记本电脑都具备这一功能,但是对于比较老的台式电脑来说可能是一个难题。
转载请注明来自网盾网络安全培训,本文标题:《苹果、Google 和微软想用 Passkey 标准杀死密码》
