隨著數(shù)字化時(shí)代的快速發(fā)展，無數(shù)網(wǎng)絡(luò)平臺(tái)正要求用戶們不斷注冊各種賬號(hào)，可說這類傳統(tǒng)密碼的登錄方式正讓我們的數(shù)字化旅程充滿荊棘。比如繁多、復(fù)雜的密碼要求，大大增加了用戶的記憶成本，反之所形成的弱密碼又極易被破解；再比如網(wǎng)絡(luò)釣魚攻擊，稍不留意，用戶就可能在虛假的登錄頁面上暴露自己的密碼。而密碼復(fù)用這一無奈之舉，更像一把雙刃劍，其在讓用戶減輕記憶負(fù)擔(dān)的同時(shí)，卻可能讓某個(gè)平臺(tái)的失守演變成所有相關(guān)賬號(hào)的災(zāi)難。

更不要說便捷性問題了。繁瑣的登錄流程，反復(fù)的用戶名和密碼輸入，加之額外的驗(yàn)證碼、安全問題驗(yàn)證，都會(huì)讓每一次的登錄變得無比拖沓，包括新設(shè)備上的登錄難題或是原設(shè)備丟失后的登錄困境，都讓用戶舉步維艱。

而在這重重困境中，passkey的出現(xiàn)為復(fù)雜的賬號(hào)管理難題帶來了最優(yōu)解。作為一種革新性的用戶認(rèn)證解決方案，passkey在安全保障、便捷性提升和賬號(hào)管理優(yōu)化等方面展現(xiàn)出卓越的功用。其不但具備強(qiáng)大的防破解能力，同時(shí)還能有效抵御釣魚攻擊，并且在便捷性方面，極大地簡化了登錄流程。

基于此，11月2日，火山引擎云安全在深圳舉辦了“賬號(hào)保護(hù)主題交流會(huì)”。現(xiàn)場專家就passkey的發(fā)展歷程、passkey的功效和優(yōu)勢，以及passkey的應(yīng)用場合和最佳實(shí)踐等內(nèi)容展開了深入的討論。

《企業(yè)登錄保護(hù)之passkey技術(shù)實(shí)踐應(yīng)用分享》

2019年某廠商被撞庫攻擊，導(dǎo)致1.72億用戶基本信息被泄漏。此外，F(xiàn)acebook程序員的失誤導(dǎo)致在數(shù)據(jù)庫明?儲(chǔ)存??密碼，影響了2億-6億用戶。包括釣魚攻擊、客戶端攻擊、上下游攻擊等，都說明了賬號(hào)管理的重要性，其不但會(huì)使公司業(yè)務(wù)受損，會(huì)對運(yùn)營商、社會(huì)安全造成大量的損失。

而passkey正是由此應(yīng)運(yùn)而生。通常而言，任何技術(shù)都會(huì)有其相對應(yīng)的“不可能三角”。比如追求安全性，就一定會(huì)在便捷性、性價(jià)比上有所欠缺。而passkey卻在此背景下，有效地平衡了三者間的關(guān)系。

首先，passkey在安全性方面具備基于硬件的強(qiáng)校驗(yàn)功能，最高可達(dá)AAL3級(jí)別。同時(shí)，passkey也是目前已知的，唯一可抗釣?攻擊的登錄?式。在面對各種攻擊時(shí)，passkey可有效防護(hù)撞庫攻擊或密碼復(fù)用等場景。針對服務(wù)器泄漏等情況，passkey在服務(wù)器存的是?來解密的公鑰，因此即使真的數(shù)據(jù)庫被盜，?客拿到了公鑰也起不了什么作?。

其次，在便攜性方面，passkey無論是在生物認(rèn)證方式（?臉、指紋、?勢），還是在開鎖方式上都能真正實(shí)現(xiàn)?鍵多因?登錄，登錄時(shí)間降低?少70%。其一鍵登錄的背后其實(shí)以驗(yàn)證兩個(gè)因子為主，其一是基于存儲(chǔ)在硬件上的私鑰簽名，驗(yàn)證了設(shè)備本身的持有行，其二是通過FaceID/指紋或者pin碼，驗(yàn)證了生物信息或者知識(shí)信息。同時(shí)，passkey這樣的驗(yàn)證方式可覆蓋當(dāng)下所有主流的系統(tǒng)和設(shè)備。

最后，在性價(jià)比方面，與短信OTP對比，passkey能使用戶成本大大降低，尤其是涉及到海外場景時(shí)，短信費(fèi)?可降低80%，并能減少60%處理密碼重置的??客服成本。就目前passkey剛上線不久而言，已為國內(nèi)主流廠商每年節(jié)省了上千萬的費(fèi)用。

可以說，當(dāng)前只要是需通過“賬戶+密碼”方式進(jìn)行登錄的場景，無論是B端還是C端，都可替換成Passkey。比如在企業(yè)辦公時(shí)，Passkey可和企業(yè)SSO系統(tǒng)打通，保護(hù)員?在各種辦公系統(tǒng)的登錄認(rèn)證和敏感操作時(shí)觸發(fā)?次認(rèn)證；再比如用戶使用APP時(shí)，Passkey可幫助應(yīng)?開發(fā)者提供更安全和?便的?式，保護(hù)終端用戶在應(yīng)?上的登錄認(rèn)證，以及敏感操作時(shí)觸發(fā)?次認(rèn)證。

從具體實(shí)例來看，各高校學(xué)生更傾向于使用Passkey，因此即使在?推?策略的情況下，使用Passkey的新用戶始終在穩(wěn)定增?。

某海外應(yīng)用上，用戶對Passkey接受度更是大幅度的增長，幾個(gè)月內(nèi)增長速率可達(dá)10倍以上，據(jù)相關(guān)數(shù)據(jù)呈現(xiàn)，從0用戶到破億，只用了八個(gè)月的時(shí)間，且目前增速依舊保持穩(wěn)定。從收益方面來看，Passkey能為用戶帶來的益處是：

1、高于任何其他登錄方式的成功率；

2、高于任何其他MFA方式的用戶轉(zhuǎn)化率；

3、大大減少了短信服務(wù)費(fèi)支出。

技術(shù)層面，對現(xiàn)有賬戶而言，注冊Passkey的過程和傳統(tǒng)OTP方式并無差別。而對于新賬戶來說，海外許多平臺(tái)在創(chuàng)建賬號(hào)的時(shí)候就能直接創(chuàng)建Passkey，甚至連密碼都不需要，整個(gè)賬號(hào)創(chuàng)建的過程可精簡至必要的幾步，創(chuàng)建過程無比絲滑，可保證企業(yè)應(yīng)用在國際上的推廣速度。

《passkey服務(wù)演示》

活動(dòng)現(xiàn)場演示了如何在網(wǎng)頁端SSO平臺(tái)上注冊和使用Passkey登錄。由于Passkey是一個(gè)新的概念，因此SSO平臺(tái)將Passkey和用戶熟悉的概念——生物特征識(shí)別相關(guān)聯(lián)，方便用戶快速理解Passkey的概念。

在SSO網(wǎng)頁端注冊Passkey時(shí)，用戶需要在登錄態(tài)下進(jìn)入身份認(rèn)證器設(shè)置，選擇開啟“生物特征識(shí)別認(rèn)證”，跟隨用戶指引完成本設(shè)備上Passkey的注冊。

如此，短短幾秒鐘的時(shí)間，用戶就能完成Passkey的注冊。

之后返回首頁，在身份驗(yàn)證器上可看到生物特征識(shí)別認(rèn)證已經(jīng)開啟。點(diǎn)擊身份列表，用戶可在其中對各新注冊的Passkey進(jìn)行管理，比如在不同設(shè)備上有著不同的Passkey，用戶可對其重命名，以達(dá)到區(qū)分的目的。整個(gè)注冊過程對用戶而言學(xué)習(xí)成本較低。

在SSO網(wǎng)頁端使用Passkey進(jìn)行身份驗(yàn)證時(shí)，瀏覽器會(huì)彈出一個(gè)對話框，提示用戶選擇一個(gè)可用的認(rèn)證器。認(rèn)證器可以是設(shè)備內(nèi)置的認(rèn)證器（如指紋、面部識(shí)別），也可以是外部的硬件認(rèn)證器（如USB Security Key）。瀏覽器會(huì)根據(jù)用戶選擇的設(shè)備或認(rèn)證器引導(dǎo)用戶進(jìn)行驗(yàn)證。

SSO網(wǎng)頁端的身份驗(yàn)證過程中，提供了兩種可選擇的方式，即Passkey二步驗(yàn)證和Passkey一步認(rèn)證。Passkey的二步驗(yàn)證替代了傳統(tǒng)使用郵箱或短信的二次驗(yàn)證，用戶在輸入賬號(hào)密碼后，跟隨彈窗指引進(jìn)行指紋解鎖，解鎖后，便能進(jìn)入SSO。而Passkey的一步認(rèn)證更為高效便捷，用戶甚至無需輸入賬號(hào)密碼，只需點(diǎn)擊登錄界面上的一步認(rèn)證按鈕，完成彈窗指紋驗(yàn)證，即可進(jìn)入SSO。由于現(xiàn)階段是Passkey推廣的過渡階段，提供兩種方式能幫助用戶更快地適應(yīng)和接受這一新功能。

Passkey認(rèn)證過程的核心在于使用公私鑰對進(jìn)行認(rèn)證，而私鑰永遠(yuǎn)不離開設(shè)備，確保了高度的安全性。此外，Passkey方案通過設(shè)備、生物特征和用戶賬戶的綁定，確保了即使設(shè)備丟失或被盜，也不會(huì)輕易導(dǎo)致賬戶安全泄露。

具體過程：當(dāng)用戶點(diǎn)頁面按鈕進(jìn)?Passkey驗(yàn)證時(shí)，服務(wù)端會(huì)生成?個(gè)challenge， 即?個(gè)隨機(jī)字符串，發(fā)給認(rèn)證器。接著，用戶在客?端設(shè)備上選擇??已注冊的認(rèn)證器，并?注冊時(shí)相同的?法解鎖，這個(gè)解鎖過程實(shí)現(xiàn)了設(shè)備對?的認(rèn)證。而認(rèn)證器會(huì)根據(jù)用戶的賬號(hào)信息（uid等）選擇正確的私鑰，并使?該秘鑰給challenge添加數(shù)字簽名。最后，客戶端設(shè)備將經(jīng)過簽名的挑戰(zhàn)發(fā)送回服務(wù)器，后臺(tái)會(huì)?該公鑰對signed challenge驗(yàn)證簽名，確認(rèn)是否校驗(yàn)成功。這個(gè)驗(yàn)證簽名的過程完成了服務(wù)端對設(shè)備的認(rèn)證。

在移動(dòng)端該如何使用Passkey？以飛書APP為例，首先要點(diǎn)擊設(shè)置，找到賬號(hào)安全中心，找到Passkey選項(xiàng)，和在網(wǎng)頁端注冊、登錄一樣，在移動(dòng)端需要進(jìn)行相同的操作。移動(dòng)端管理Passkey時(shí)，同樣可在Passkey列表上進(jìn)行重命名或刪除的操作。

分組討論總結(jié)

話題一：不同應(yīng)用方對于Passkey持何態(tài)度？他們的決策又是怎樣的？

總結(jié)：Passkey作為認(rèn)證產(chǎn)品，不同應(yīng)用方需根據(jù)自己的風(fēng)險(xiǎn)偏好，以及對用戶應(yīng)用性的理解，做出相應(yīng)的產(chǎn)品決策。同樣是在Passkey產(chǎn)品使用的切換期，由于金融行業(yè)的監(jiān)管更嚴(yán)，所以他們需要足夠的風(fēng)控手段，比如對于老舊設(shè)備在應(yīng)用Passkey時(shí)所需的管控措施等。而其他行業(yè)，像那些擁有社交類應(yīng)用的企業(yè)，他們可能更關(guān)注的是賬戶留存、新賬戶的增加或用戶體驗(yàn)等，因此他們可以更快地接受Passkey，其關(guān)注度也會(huì)集中于新設(shè)備的安全水位。

話題二：Passkey是否真的能讓用戶舍棄密碼？其安全性和合規(guī)性該如何考量？

總結(jié)：從安全性而言，Passkey所具備的多因子認(rèn)證能力一定比密碼要安全，因此許多海外用戶已經(jīng)舍棄了密碼。關(guān)于合規(guī)，從現(xiàn)階段來看，只能具體行業(yè)具體實(shí)施，有些行業(yè)對密碼有監(jiān)管要求的，那就只能將Passkey作為輔助功能。但Passkey作為最新的認(rèn)證技術(shù)趨勢，若其發(fā)展前景確實(shí)能保證用戶的安全性和便捷性，那相對應(yīng)的合規(guī)要求應(yīng)該也有可能改變。之所以稱其為Passkey，其最終的目標(biāo)就是將密碼完全取代。

話題三：對于個(gè)人用戶而言，如果主賬號(hào)被攻破，Passkey會(huì)否加劇用戶其他應(yīng)用的風(fēng)險(xiǎn)？

總結(jié)：沒有任何一種認(rèn)證方式是絕對安全的，當(dāng)下所有的技術(shù)手段其實(shí)都需要基于對比，因此Passkey的可應(yīng)用性在于時(shí)代背景，同時(shí)在于和其他認(rèn)證方式的比較。當(dāng)然，設(shè)備本身的安全性也是一大考量，比如蘋果、谷歌等，它們本身的安全性也在業(yè)內(nèi)前列。此外，通過火山引擎所提供的SDK，用戶可將Passkey只維持在本地，不去和云端做同步，這樣便能大大提高安全性。

針對新技術(shù)的引入會(huì)否帶來其他風(fēng)險(xiǎn)，其關(guān)鍵點(diǎn)在于與其他身份驗(yàn)證方式的橫向比較。Passkey 作為一種密碼和傳統(tǒng)MFA替代方案，具有許多安全優(yōu)勢。它基于公鑰加密技術(shù)，私鑰永遠(yuǎn)不離開設(shè)備，因此能夠有效防止密碼泄露、暴力破解攻擊和釣魚攻擊。即使攻擊者獲取了用戶的用戶名和密碼，也無法直接進(jìn)行身份驗(yàn)證，因?yàn)樗麄儧]有私鑰。對于新技術(shù)必然需要具備相應(yīng)的風(fēng)控機(jī)制和應(yīng)對方案，這也是接下去火山引擎會(huì)重點(diǎn)研究的方向。

花絮