谷歌推出碰锁钥匙无密码登录支持Android和chrome

谷歌周三正式推出了对Android和Chrome的下一代认证标准的支持。

这位科技巨头说，”密码钥匙是密码和其他认证因素的更安全的替代品。”它们不能被重用，不要在服务器破坏中泄漏，并保护用户免受网络钓鱼攻击。

该功能于2022年5月首次公布，作为支持通用无密码登录标准的更广泛努力的一部分。

由FIDO联盟建立并由苹果和微软公司支持的密码钥匙旨在用存储在设备本地的唯一数字密钥替换标准密码。

为此，创建一个密码需要最终用户确认将用于登录在线服务的帐户，然后使用他们的生物特征信息或设备密码。

在移动设备上登录网站也是一个简单的两步过程，需要选择账户，并在提示时显示其指纹、脸或屏幕锁。

权力传递密钥的基本原则是一种名为”公钥密码学”的机制，其中”秘密”私钥存储在用户的设备上，而公共密钥则被在线服务所隐藏。

因此，在登录过程中，支持密钥传递的平台使用公钥验证来自私钥的签名以确认用户的真实性。

每个用户帐户为在线服务生成的碰锁钥匙私钥也在用户的设备上使用硬件保护的加密密钥进行加密。

碰锁钥匙最吸引人的优点是它们浏览器和操作系统无关的，这意味着Android用户可以使用iOS或macOS上的Safari或Windows上的Chrome浏览器登录到支持碰锁钥匙的网站。

谷歌还注意到，生成的碰锁钥匙通过其密码管理器安全存储并同步到云端，以防止锁定，增加开发人员可以使用WebAuthn API在其网站上集成碰锁钥匙支持。

谷歌软件工程师Arnar Birgisson说，当一个密码被备份时，它的私人钥匙只能以加密的形式上传，而加密密钥只能在用户自己的设备上使用。

这可以保护密码不被谷歌自身攻击，或者例如谷歌内部的恶意攻击者攻击。在无法获得私钥的情况下，这样的攻击者无法使用密钥登录到其对应的在线帐户。

互联网巨头还说，它的目的是在2022年发布一个本地Android应用程序的API，让用户以标准化的方式选择一个密码或一个保存的密码。