苹果passkey是如何做到无密码登录的?

6月8日消息 , 在美国当地时间周二举行的全球开发者大会(WWDC)上 , 苹果宣布将首次实现真正的无密码登录 , 那么它是如何做到的?该公司解释称 , 将在iOS16和MacOSVentura应用和网站中使用Passkey , 并使用TouchID或FaceID进行身份验证 。
【苹果passkey是如何做到无密码登录的?】多年来 , 很多公司都承诺将提供更安全、无密码登录方案 , 而2022年可能是让人们远离密码的开始 。在今年的全球开发者大会上 , 苹果宣布将于今年9月份开始在Mac、iPhone、iPad和AppleTV上推出无密码登录 。
在iOS16和MacOSVentura上 , 人们将不再使用密码 , 而是使用Passkey登录网站和应用 。这是现实世界中为消除密码而进行的第一次重大转变 。
那么 , 苹果是如何做到的呢?该公司互联网技术副总裁达里恩·阿德勒(DarinAdler)在WWDC上解释说 , Passkey通过使用TouchID或FaceID创建新的数字密钥来取代密码 。
当用户在网站上创建在线帐户时 , 他们就可以使用Passkey而不是密码 。阿德勒说:“要创建Passkey , 只需使用TouchID或FaceID进行身份验证即可 。”
当用户再次登录该网站时 , Passkey允许其通过使用生物识别信息进行验证 , 而不必输入密码(或者让密码管理器生成新密码) 。在Mac上登录网站时 , iPhone或iPad上会出现提示 , 要求验证身份 。苹果表示 , Passkey将使用iCloud的Keychain在设备上同步 , 而且Passkey存储在用户的设备上 , 而不是服务器上 。
在幕后 , 苹果Passkey是基于WebAuthenticationAPI(WebAuthn)开发的 , 并且支持端到端加密 , 所以没有人可以读取它们 , 包括苹果本身 。创建Passkey的系统使用公钥-私钥身份系统来证明用户的身份 。
对于大多数人来说 , 无密码系统将是网络安全领域的重大进步 。除了消除可能被破解的密码外 , 不再使用密码还可以帮助降低遭到网络钓鱼攻击的危险 。
而且 , 如果密码本来就不存在 , 在数据泄露事件中就不会被窃取 。目前 , 虽然部分应用程序和网站已经允许人们使用指纹或面部识别登录 , 但这通常需要他们首先创建带有密码的账户 。
苹果的Passkey并不是全新的发明 , 该公司在2021年的WWDC上首次详细介绍了它们 , 并在不久后开始测试 。而且 , 苹果也不是唯一一家想要消除密码的公司 。近十年来 , 科技行业组织TheFIDOAlliance也始终在致力于制定消除密码所需的基本标准 , 而Passkey正是苹果支持这些标准的举措 。
近几个月来 , FIDO采取了一系列重要措施 , 以加速消除密码 。今年3月 , 该组织已经找到一种方法来存储让不同设备之间同步登录的加密密钥 , 称之为“多设备FIDO证书”或“passkey” 。
紧随其后的是 , 苹果、微软和谷歌都宣布支持FIDO标准 。美国网络安全和基础设施安全局局长珍·伊斯特利(JenEasterly)表示 , 采用这些标准将确保更多人的网络安全 。
当时 , 这三家科技巨头称 , 他们将开始“在未来一年”推出这项技术 。自去年9月以来 , 微软的用户账户已经可以放弃密码 , 而谷歌自2008年以来也始终在研究无密码登录技术 。
当所有科技公司都推出了自己版本的passkey后 , 该系统应该可以在不同的设备上运行 。
理论上 , 用户可以用iPhone登录运行Windows的笔记本电脑 , 或者用安卓平板电脑在微软Edge浏览器中登录网站 。FIDO执行董事安德鲁·希基亚尔(AndrewShikiar)说:“FIDO的所有规格都是合作开发的 , 有数百家公司参与 。”
希基亚尔已经证实 , 苹果是第一家开始推出passkey技术的公司 , 并称“这种方法很快就会对全球消费者产生实际影响” 。要想实现无密码登录 , 取决于passkey技术在现实中的表现 。目前 , 如果你想抛弃苹果的生态系统 , 转而使用安卓或其他平台 , Passkey会发生什么 , 这仍是个悬而未决的问题 。开发者仍然需要对他们的应用和网站进行更改 , 才能使用Passkey 。