谷歌推出Android和Chrome无密码登录支持

谷歌周三正式向Android和Chrome推出了对下一代认证标准passkey的支持。

这家科技巨头表示：“密码是密码和其他可仿冒认证因素的更安全的替代品”。“它们不能重复使用，不会泄露服务器漏洞，并保护用户免受网络钓鱼攻击。”

该功能于2022年5月首次发布，作为支持通用无密码登录标准的更广泛努力的一部分。

由FIDO联盟建立并得到苹果和微软支持的密码旨在用存储在设备本地的唯一数字密钥取代标准密码。

为此，创建密码需要最终用户确认将用于登录在线服务的帐户，然后使用他们的生物特征信息或设备密码。

在移动设备上登录网站也是一个简单的两步过程，需要选择帐户，并在提示时显示他们的指纹、面部或屏幕锁定。

提供密钥的基本原理是一种称为公钥加密的机制，其中“秘密”私钥存储在用户的设备上，而公钥由在线服务隐藏。

因此，在登录过程中，支持密钥的平台使用公钥验证来自私钥的签名，以确认用户的真实性。

在线服务的每个用户帐户生成的密钥私钥也在用户设备上使用硬件保护的加密密钥进行加密。

密码最引人注目的优点是，它们还不受浏览器和操作系统的限制，这意味着Android用户可以使用iOS或macOS上的Safari或Windows上的Chrome浏览器登录启用密码的网站。

谷歌还注意到，生成的密钥被安全存储，并通过其密码管理器同步到云端，以防止锁定。此外，开发者可以使用WebAuthn API在其网站上集成密钥支持。

谷歌软件工程师Arnar Birgisson说：“当一个密钥被备份时，它的私钥只能以加密的形式上传，使用的加密密钥只能在用户自己的设备上访问”。

这可以保护密码不受谷歌本身或谷歌内部恶意攻击者的攻击。如果没有访问私钥的权限，这样的攻击者就无法使用密码登录其相应的在线帐户。

这家互联网巨头进一步表示，其计划在2022年发布一个用于原生Android应用程序的API，该API将为用户提供一种标准化的方式来选择密钥或保存的密码。