随着数字化时代的快速发展,无数网络平台正要求用户们不断注册各种账号,可说这类传统密码的登录方式正让我们的数字化旅程充满荆棘。比如繁多、复杂的密码要求,大大增加了用户的记忆成本,反之所形成的弱密码又极易被破解;再比如网络钓鱼攻击,稍不留意,用户就可能在虚假的登录页面上暴露自己的密码。而密码复用这一无奈之举,更像一把双刃剑,其在让用户减轻记忆负担的同时,却可能让某个平台的失守演变成所有相关账号的灾难。

更不要说便捷性问题了。繁琐的登录流程,反复的用户名和密码输入,加之额外的验证码、安全问题验证,都会让每一次的登录变得无比拖沓,包括新设备上的登录难题或是原设备丢失后的登录困境,都让用户举步维艰。

而在这重重困境中,passkey的出现为复杂的账号管理难题带来了最优解。作为一种革新性的用户认证解决方案,passkey在安全保障、便捷性提升和账号管理优化等方面展现出卓越的功用。其不但具备强大的防破解能力,同时还能有效抵御钓鱼攻击,并且在便捷性方面,极大地简化了登录流程。

基于此,11月2日,火山引擎云安全在深圳举办了“账号保护主题交流会”。现场专家就passkey的发展历程、passkey的功效和优势,以及passkey的应用场合和最佳实践等内容展开了深入的讨论。

打开网易新闻 查看更多图片

《企业登录保护之passkey技术实践应用分享》

2019年某厂商被撞库攻击,导致1.72亿用户基本信息被泄漏。此外,Facebook程序员的失误导致在数据库明⽂储存⽤⼾密码,影响了2亿-6亿用户。包括钓鱼攻击、客户端攻击、上下游攻击等,都说明了账号管理的重要性,其不但会使公司业务受损,会对运营商、社会安全造成大量的损失。

而passkey正是由此应运而生。通常而言,任何技术都会有其相对应的“不可能三角”。比如追求安全性,就一定会在便捷性、性价比上有所欠缺。而passkey却在此背景下,有效地平衡了三者间的关系。

首先,passkey在安全性方面具备基于硬件的强校验功能,最高可达AAL3级别。同时,passkey也是目前已知的,唯一可抗钓⻥攻击的登录⽅式。在面对各种攻击时,passkey可有效防护撞库攻击或密码复用等场景。针对服务器泄漏等情况,passkey在服务器存的是⽤来解密的公钥,因此即使真的数据库被盗,⿊客拿到了公钥也起不了什么作⽤。

其次,在便携性方面,passkey无论是在生物认证方式(⼈脸、指纹、⼿势),还是在开锁方式上都能真正实现⼀键多因⼦登录,登录时间降低⾄少70%。其一键登录的背后其实以验证两个因子为主,其一是基于存储在硬件上的私钥签名,验证了设备本身的持有行,其二是通过FaceID/指纹或者pin码,验证了生物信息或者知识信息。同时,passkey这样的验证方式可覆盖当下所有主流的系统和设备。

最后,在性价比方面,与短信OTP对比,passkey能使用户成本大大降低,尤其是涉及到海外场景时,短信费⽤可降低80%,并能减少60%处理密码重置的⼈⼯客服成本。就目前passkey刚上线不久而言,已为国内主流厂商每年节省了上千万的费用。

打开网易新闻 查看更多图片

可以说,当前只要是需通过“账户+密码”方式进行登录的场景,无论是B端还是C端,都可替换成Passkey。比如在企业办公时,Passkey可和企业SSO系统打通,保护员⼯在各种办公系统的登录认证和敏感操作时触发⼆次认证;再比如用户使用APP时,Passkey可帮助应⽤开发者提供更安全和⽅便的⽅式,保护终端用户在应⽤上的登录认证,以及敏感操作时触发⼆次认证。

从具体实例来看,各高校学生更倾向于使用Passkey,因此即使在⽆推⼴策略的情况下,使用Passkey的新用户始终在稳定增⻓。

某海外应用上,用户对Passkey接受度更是大幅度的增长,几个月内增长速率可达10倍以上,据相关数据呈现,从0用户到破亿,只用了八个月的时间,且目前增速依旧保持稳定。从收益方面来看,Passkey能为用户带来的益处是:

1、高于任何其他登录方式的成功率;

2、高于任何其他MFA方式的用户转化率;

3、大大减少了短信服务费支出。

技术层面,对现有账户而言,注册Passkey的过程和传统OTP方式并无差别。而对于新账户来说,海外许多平台在创建账号的时候就能直接创建Passkey,甚至连密码都不需要,整个账号创建的过程可精简至必要的几步,创建过程无比丝滑,可保证企业应用在国际上的推广速度。

《passkey服务演示》

活动现场演示了如何在网页端SSO平台上注册和使用Passkey登录。由于Passkey是一个新的概念,因此SSO平台将Passkey和用户熟悉的概念——生物特征识别相关联,方便用户快速理解Passkey的概念。

在SSO网页端注册Passkey时,用户需要在登录态下进入身份认证器设置,选择开启“生物特征识别认证”,跟随用户指引完成本设备上Passkey的注册。

如此,短短几秒钟的时间,用户就能完成Passkey的注册。

打开网易新闻 查看更多图片

之后返回首页,在身份验证器上可看到生物特征识别认证已经开启。点击身份列表,用户可在其中对各新注册的Passkey进行管理,比如在不同设备上有着不同的Passkey,用户可对其重命名,以达到区分的目的。整个注册过程对用户而言学习成本较低。

在SSO网页端使用Passkey进行身份验证时,浏览器会弹出一个对话框,提示用户选择一个可用的认证器。认证器可以是设备内置的认证器(如指纹、面部识别),也可以是外部的硬件认证器(如USB Security Key)。浏览器会根据用户选择的设备或认证器引导用户进行验证。

SSO网页端的身份验证过程中,提供了两种可选择的方式,即Passkey二步验证和Passkey一步认证。Passkey的二步验证替代了传统使用邮箱或短信的二次验证,用户在输入账号密码后,跟随弹窗指引进行指纹解锁,解锁后,便能进入SSO。而Passkey的一步认证更为高效便捷,用户甚至无需输入账号密码,只需点击登录界面上的一步认证按钮,完成弹窗指纹验证,即可进入SSO。由于现阶段是Passkey推广的过渡阶段,提供两种方式能帮助用户更快地适应和接受这一新功能。

Passkey认证过程的核心在于使用公私钥对进行认证,而私钥永远不离开设备,确保了高度的安全性。此外,Passkey方案通过设备、生物特征和用户账户的绑定,确保了即使设备丢失或被盗,也不会轻易导致账户安全泄露。

具体过程:当用户点页面按钮进⾏Passkey验证时,服务端会生成⼀个challenge, 即⼀个随机字符串,发给认证器。接着,用户在客⼾端设备上选择⾃⼰已注册的认证器,并⽤注册时相同的⽅法解锁,这个解锁过程实现了设备对⼈的认证。而认证器会根据用户的账号信息(uid等)选择正确的私钥,并使⽤该秘钥给challenge添加数字签名。最后,客户端设备将经过签名的挑战发送回服务器,后台会⽤该公钥对signed challenge验证签名,确认是否校验成功。这个验证签名的过程完成了服务端对设备的认证。

打开网易新闻 查看更多图片

在移动端该如何使用Passkey?以飞书APP为例,首先要点击设置,找到账号安全中心,找到Passkey选项,和在网页端注册、登录一样,在移动端需要进行相同的操作。移动端管理Passkey时,同样可在Passkey列表上进行重命名或删除的操作。

分组讨论总结

话题一:不同应用方对于Passkey持何态度?他们的决策又是怎样的?

总结:Passkey作为认证产品,不同应用方需根据自己的风险偏好,以及对用户应用性的理解,做出相应的产品决策。同样是在Passkey产品使用的切换期,由于金融行业的监管更严,所以他们需要足够的风控手段,比如对于老旧设备在应用Passkey时所需的管控措施等。而其他行业,像那些拥有社交类应用的企业,他们可能更关注的是账户留存、新账户的增加或用户体验等,因此他们可以更快地接受Passkey,其关注度也会集中于新设备的安全水位。

打开网易新闻 查看更多图片

话题二:Passkey是否真的能让用户舍弃密码?其安全性和合规性该如何考量?

总结:从安全性而言,Passkey所具备的多因子认证能力一定比密码要安全,因此许多海外用户已经舍弃了密码。关于合规,从现阶段来看,只能具体行业具体实施,有些行业对密码有监管要求的,那就只能将Passkey作为辅助功能。但Passkey作为最新的认证技术趋势,若其发展前景确实能保证用户的安全性和便捷性,那相对应的合规要求应该也有可能改变。之所以称其为Passkey,其最终的目标就是将密码完全取代。

话题三:对于个人用户而言,如果主账号被攻破,Passkey会否加剧用户其他应用的风险?

总结:没有任何一种认证方式是绝对安全的,当下所有的技术手段其实都需要基于对比,因此Passkey的可应用性在于时代背景,同时在于和其他认证方式的比较。当然,设备本身的安全性也是一大考量,比如苹果、谷歌等,它们本身的安全性也在业内前列。此外,通过火山引擎所提供的SDK,用户可将Passkey只维持在本地,不去和云端做同步,这样便能大大提高安全性。

针对新技术的引入会否带来其他风险,其关键点在于与其他身份验证方式的横向比较。Passkey 作为一种密码和传统MFA替代方案,具有许多安全优势。它基于公钥加密技术,私钥永远不离开设备,因此能够有效防止密码泄露、暴力破解攻击和钓鱼攻击。即使攻击者获取了用户的用户名和密码,也无法直接进行身份验证,因为他们没有私钥。对于新技术必然需要具备相应的风控机制和应对方案,这也是接下去火山引擎会重点研究的方向。

花絮

打开网易新闻 查看更多图片
打开网易新闻 查看更多图片
打开网易新闻 查看更多图片
打开网易新闻 查看更多图片