谷歌宣布让其个人帐户持有人使用称为“密码”的密码替代登录的一项重大努力。
该功能面向公司的数十亿帐户推出,用户将能够主动寻找并启用它。谷歌表示,它计划在未来几个月推广密码,并开始推动账户持有人将他们传统的用户名和密码登录转换为密码。
几十年来,基于密码的身份验证一直是互联网(以及一般计算)的标准,但该系统存在严重的安全问题,即攻击者可以窃取您的密码或诱使您在网络钓鱼攻击中将其提供给他们。密钥方案是专门为解决网络钓鱼攻击而设计的,它依赖于使用存储在您设备上的加密密钥进行帐户身份验证的不同模型。
自从名为 FIDO 联盟的行业协会开始公开推广密钥的推出以来,全球最大的消费操作系统制造商 Microsoft、Google 和 Apple 已经启动了必要的基础设施来支持密钥。但是,如果您在日常生活中仍然从未使用过密码,那么您并不孤单。
采用密钥的下一步是让服务实际提供密钥作为用户帐户的登录选项。到目前为止,PayPal、Shopify、CVS Health、Kayak 和 Hyatt 等公司已经采取了行动。鉴于公司的资源和庞大的规模,今天为谷歌用户推出的万能钥匙值得注意。
“这非常、非常重要,”FIDO 联盟执行董事安德鲁·希基尔 (Andrew Shikiar) 说。“这是一个拐点。像谷歌这样的公司能够让这么多人真正看到密码登录,他们将更有可能在其他地方使用它们。它还将加速其他公司的部署计划并帮助他们更好地部署,因为我们将作为一个整体从中学习。”
您可以使用指纹或面部扫描仪等生物识别传感器、智能手机的设备锁定 PIN 或 YubiKeys 等物理身份验证加密狗使用密钥登录。要转换您的 Google 帐户,您将导航到此链接,使用您的用户名、密码和您设置的任何其他身份验证因素登录,然后在您使用的设备上单击“+ 创建密钥”。
“我们在这里有机会改变用户对登录的看法,”谷歌身份和安全产品经理兼 FIDO2 技术工作组联合主席 Christiaan Brand 说。“如果我们可以改变登录 Google 帐户的方式,我们希望消费者会开始更加习惯这项技术,并向行业发出信号,我们不仅仅是在谈论这个东西——它已经准备好黄金时段收养。”
密钥可以通过端到端加密服务(例如 Google 密码管理器和 iCloud 钥匙串)在您的设备之间同步。或者,您可以通过在登录到您的 Google 帐户的设备上生成 QR 代码来在多台设备上设置密钥,该代码将在您要登录的另一台设备上使用。
您所有的 Google 帐户密钥都将列在“密钥管理页面”上,您可以在其中查看和撤销它们。您甚至可以将您帐户的密钥存储在您信任的人的设备上,作为恢复选项。如果您使用密钥在共享设备上登录您的 Google 帐户,请务必在完成后将其撤销。
“当供应商或开发人员只推出适用于 iOS 的密钥或仅推出适用于 Android 的密钥时,这无济于事。那不是密码的工作方式;密码无处不在,”布兰德说。“所以对我们来说,重要的是在发布当天覆盖尽可能广泛的设备,没有例外。
谷歌表示,即使你为你的帐户(或五个)创建了密码,你的传统用户名和密码登录也不会消失,如果你愿意,你仍然可以使用它。但该公司打赌,一旦人们习惯了万能钥匙,他们就会更喜欢它们,并且会发现它们比密码更容易管理。一旦您在设备上设置了密码,谷歌就会自动检测到它并提示您以这种方式登录。
Brand 表示,在对几千名用户进行的早期测试中,使用密钥登录的成功率立即高于传统的用户名和密码登录。这并不意味着不会有 Brand 所说的“粗糙边缘”或存在密码错误的用例。但谷歌表示,它希望尽可能多地发现并解决这些问题,这样较小的组织就可以更有信心地实施密钥。
谷歌的公告是在周四世界密码日前夕发布的。但万能钥匙的支持者正在加紧努力,让这种场合过时。
“最终,我认为这将像世界马匹日一样,”Shikiar 说。“就目前而言,这很好地提醒了我们摆脱密码所面临的挑战。”