谷歌身份與安全產(chǎn)品經(jīng)理克里斯蒂安·布蘭德表示：傳統(tǒng)的密碼驗證模式已經(jīng)不再適應當前的數(shù)字化應用發(fā)展水平，不僅用戶體驗感差，而且其技術(shù)本身也容易被惡意破解、釣魚詐騙以及違規(guī)使用。而通過此次發(fā)布的Passkey技術(shù)，則可以有效避免這些問題的出現(xiàn)。
　　在保護用戶網(wǎng)絡(luò)安全的戰(zhàn)場上，密碼一直都站在最前沿。但密碼技術(shù)本身，也有著易遭破解、難于記憶、管理不便等不足和應用挑戰(zhàn)。在今年的世界密碼日前夕，Google公司正式發(fā)布了一項新服務——通行密鑰(Passkey)，幫助用戶以更簡單、更安全的方式登錄谷歌賬號，以取代傳統(tǒng)的密碼口令登錄模式。

　　谷歌身份與安全產(chǎn)品經(jīng)理克里斯蒂安·布蘭德表示：傳統(tǒng)的密碼驗證模式已經(jīng)不再適應當前的數(shù)字化應用發(fā)展水平，不僅用戶體驗感差，而且其技術(shù)本身也容易被惡意破解、釣魚詐騙以及違規(guī)使用。而通過此次發(fā)布的Passkey技術(shù)，則可以有效避免這些問題的出現(xiàn)。

　　傳統(tǒng)密碼口令已死?

　　全球有數(shù)十億用戶每天都在不同設(shè)備上使用密碼作為應用系統(tǒng)的登錄口令，雖然密碼的重要性不容小覷，但糟糕的密碼管理和使用方法比比皆是。據(jù)2022年《Verizon數(shù)據(jù)泄露事件報告》數(shù)據(jù)顯示，超過80%的數(shù)據(jù)泄露是由于被竊取或破解的賬戶密碼所引發(fā)，但很多用戶并沒有意識到潛在的危險。

　　在采用密碼技術(shù)之后，很多企業(yè)和個人都認為可以有效保護系統(tǒng)和敏感數(shù)據(jù)的訪問安全。然而，傳統(tǒng)密碼登錄驗證模式的缺陷也非常明顯：

　　首先，密碼口令在本質(zhì)上就是不安全的，它們可能被盜、被猜測或被暴力破解，特別是隨著計算能力的提升，傳統(tǒng)密碼技術(shù)被破解的難度在不斷降低;

　　其次，但很多情況下，用戶并不了解如何正確使用(或設(shè)置)密碼，弱密碼和密碼重用的情況普遍存在;

　　此外，我們每個人都在使用十多個甚至近百個密碼，如何記住這么多的用戶名和密碼組合，還要定期更改，在管理上并不容易。盡管密碼管理器可以幫助用戶管理復雜密碼，但也只是一個折中措施，無法從根本上保證安全性。

　　由于以上難以解決的不足和挑戰(zhàn)，企業(yè)面臨的最大安全風險之一就是將不安全的密碼技術(shù)作為身份驗證的主要方法。在此背景下，包括微軟、蘋果和Google在內(nèi)的領(lǐng)先科技廠商都在積極開發(fā)一種更先進的無密碼登錄技術(shù)和標準，以實現(xiàn)更高的安全性和保護性。而本次Passkey服務功能發(fā)布，則是替代傳統(tǒng)密碼驗證技術(shù)的一個重要標志。

　　Passkey其實并不是一種新技術(shù)，而是密碼學中“非對稱加密”在登錄認證中的一種創(chuàng)新應用。Passkey可以被理解為是“生物密碼”技術(shù)和“授權(quán)登錄”技術(shù)的結(jié)合。用戶可以在Android手機上創(chuàng)建一個基于公鑰加密的密鑰憑據(jù)，并需要對該憑據(jù)進行生物特征識別，比如“指紋”或者“面部識別”等。與傳統(tǒng)密碼相比，Passkey可以給用戶帶來更好的使用體驗，而且能夠更好地應對憑據(jù)盜竊、網(wǎng)絡(luò)釣魚和社會工程欺詐等攻擊。

　　通行密鑰推廣應用的挑戰(zhàn)

　　據(jù)布蘭德介紹，Google計劃在未來幾個月重點推廣Passkey，并敦促用戶將傳統(tǒng)的密碼登錄方式轉(zhuǎn)換為Passkey。盡管我們非常期待以Passkey為代表的無密碼技術(shù)帶來易用性、安全性和廣泛性等多維度的變革，但是要在更多企業(yè)組織中推廣應用類似Passkey技術(shù)可能并不容易。

　　研究人員發(fā)現(xiàn)，阻礙無密碼登錄技術(shù)應用的關(guān)鍵因素并不是技術(shù)本身的缺陷或限制，而是由于很多企業(yè)中身份和驗證管控的現(xiàn)狀。很多企業(yè)中，身份管理和身份驗證仍然是相對獨立的，而很多廣泛使用的應用程序在設(shè)計開發(fā)時，并沒有合理考慮如何支持通行密鑰等無密碼登錄驗證新模式。盡管Passkey是一種解決身份安全驗證和用戶體驗的有效辦法。但是只有消除身份管理和身份驗證之間的隔斷，該技術(shù)才有希望真正在更多企業(yè)中落地應用。

　　此外，通行密鑰要真正取代傳統(tǒng)的密碼驗證方法，還必須能夠廣泛適配企業(yè)復雜的數(shù)字化環(huán)境，包括能夠兼容各種網(wǎng)站應用、智能手機和桌面應用程序，同時還要支持數(shù)量眾多的操作系統(tǒng)版本和環(huán)境。這對服務提供商將是一個棘手問題，因為這意味著必須在所有這些環(huán)境中安全、穩(wěn)定、便捷地共享使用密鑰，要實現(xiàn)這種互操作性并不容易。

　　同時，面向企業(yè)級用戶和面向消費者的通行密鑰解決方案在設(shè)計和實施上也會存在巨大差異。消費級產(chǎn)品主要需求是管理數(shù)百萬個通行密鑰，需要彈性擴展能力以支持這種巨大的工作負載。而企業(yè)組織更希望讓所有員工能夠更安全地在各種設(shè)備、瀏覽器和網(wǎng)站之間實現(xiàn)互操作性，因此需要將密鑰與使用者的身份進行強驗證和綁定。

　　誠然，無密碼技術(shù)應用的時代已到來。但是要構(gòu)建企業(yè)級通行密鑰解決方案還需要研究人員繼續(xù)努力。也許到了2024年的世界密碼日，我們就可以看到傳統(tǒng)密碼驗證技術(shù)的真正消亡。