使用指纹和人脸识别这些生物识别技术,来解锁手机已经很常见了。目前,这种技术已经轻松应用于Web身份验证过程。现代浏览器提供了WebAuthn的JavaScript API,这将意味着未来登录网页将不再需要密码。这一技术被称为“通行秘钥”(Passkeys)。
通行秘钥的简要原理是存在一个认证器,它位于用户和网站之间。用户将身份验证的任务委托给认证器,用户只需授权认证器进行验证。认证器可以存在于各种载体中,如手机、电脑、USB等。其工作原理大致如下:
1)创建身份凭证:网站提供一个随机串,用户将其与用户信息提交给认证器。认证器生成一个公私钥对,然后将公钥、用户信息和已加密的随机串提交给网站。
2)登录认证过程:网站提供一个随机串,用户将其提交给认证器。认证器在记录中匹配随机串后,将用户信息和已加密的随机串提交给网站。如果网站使用公钥成功解密并验证用户信息匹配,就会允许登录。
这一原理非常简单,更详细的交互过程可在这篇文章中找到:www.passkeys.io/technical-d… ,认证器的角色在于生成一组非对称密钥对,用作安全通信工具,并管理用户信息。目前,大型公司如Apple、Google和Microsoft等都开始支持这一技术,许多密码管理工具如1Password也支持扮演认证器的角色,这预示着它将在一两年内成为一种新趋势。
一旦你习惯了使用通行秘钥,你可能再也不愿意使用密码登录,因为它不仅方便,还更加安全。例如,钓鱼网站将不再有效,因为在进行认证时,认证器将拒绝验证,如果发现网站域名与记录的信息不匹配。
