谷歌通过启用仅密码谷歌帐户,向我们所谓的无密码未来迈出了一大步。在标题为“密码结束的开始”的博文中,谷歌表示:“我们已经开始在所有主要平台上推出对谷歌账户密码的支持。它们将成为人们可以用来登录,以及密码、两步验证 (2SV) 等。” 以前,您可以将密钥与 Google 帐户一起使用作为双因素身份验证的一部分,但这始终是密码的补充。现在可以使用带有密钥而不是密码的 Google 帐户。
如果您还没有听说过新的身份验证方法,密钥是一种登录应用程序和网站的新方法,并且有朝一日可能会取代密码。密码输入一开始只是一个简单的人类文本框,随着对更高安全性的需求的到来,这些文本框慢慢地实现了自动化和复杂化。虽然您过去是在密码字段中输入记住的单词,但如今,使用密码的正确方法是让密码管理器将随机字符串粘贴到密码框中。由于我们中很少有人亲自输入密码,因此密钥删除了密码框。
密码让您的操作系统直接与网站交换公私密钥对——“ WebAuthn ”标准,这就是您获得身份验证的方式。谷歌关于这将如何在手机上工作的演示看起来很棒——通常的框要求你输入谷歌用户名,然后它要求输入指纹而不是密码,这会解锁密码系统,然后你就登录了。
谷歌的无密码支持目前正面向消费者设备,而企业 Google Workspace 帐户将“很快”可以选择为最终用户启用密码。
密码还没有准备好迎接黄金时段
即使 Google 全力以赴使用万能钥匙,也不意味着它们已准备好被广泛采用。首先,一些平台(Windows/Linux/Chrome OS)不如其他平台(macOS/iOS/Android)。官方 passkeys.dev 网站有一个有用的页面,可以跟踪各个平台的准备情况,还有很长的路要走。无法在 Chrome 操作系统上访问您的谷歌密钥帐户将是非常糟糕的,这可能会锁定您,直到您切换回密码。
第二个问题似乎不会很快得到解决,那就是密码是通过你的操作系统生态系统同步的,而不是通过浏览器,这代表了密码工作方式的重大倒退。今天,如果我在 Windows 上为 Chrome 添加密码,该密码将立即在我安装了 Chrome 的任何地方可用,例如 Android 手机、MacBook、iPhone、Chromebook 等,但密码不能那样工作。
引用FIDO 联盟页面的话,密钥“同步到运行相同操作系统平台的用户的所有其他设备”[强调我们的]。这意味着如果我在 Windows 上的 Chrome 中添加一个密钥,该密钥将进入操作系统供应商的密钥存储 – 微软的 – 并且只会与其他微软操作系统同步。如果您只使用 Apple 设备,一切都会同步,您不会注意到任何差异。我们其他人将需要通过二维码和蓝牙驱动的传输过程,让我们的凭证在 Windows 和 Android 或 Android 和 Linux 或任何其他跨操作系统供应商组合上工作。负责密码的大型科技公司似乎对让它们像密码一样无缝和方便不感兴趣,
1密码确认这整个同步混乱,“目前,其他平台上的密钥要求您使用来自同一生态系统的设备进行身份验证。与其他操作系统同步或共享密钥需要繁琐的变通方法,例如 QR 码,导致更复杂且更少安全的体验。” 目前尚不清楚 1Password 等应用程序是否已受邀参加 Big Tech 密码派对。1Password 说加入了 FIDO 联盟,但是 1Password 的 passkey 页面也有视频说 passkey 不够开放。该视频说,“今天的解决方案并没有兑现开放性和互操作性的承诺。如果你今天在你的 iPhone 或 Android 设备上创建密码,它几乎被困住了。分享、将它移动到另一个平台或同步并不容易使用您首选的密码管理器。我们可以做得更好。这就是为什么我们很高兴向您展示如果无密码技术更加开放,未来会是什么样子。”
1Password 的密码页面包含大量“可以”和“应该”的语言,但该公司正在研究某种解决方案,将于“今年夏天”推出。即使该公司设法解决了自己应用程序的密码同步问题,但在默认设置(这是大多数人会使用的设置)中出现如此重大的跨平台回归将严重限制密码的吸引力。