隨著互聯網的普及和移動設備的廣泛應用,人們對于身份認證安全性和便捷性的要求也越來越高,Passkeys技術應運而生,為互聯網安全和數字化進程注入了新的活力。近日,由FIDO聯盟中國工作組主辦、國民認證承辦的在線沙龍活動“Passkeys技術實現與應用”成功舉辦,聚焦國內產業界對于Passkeys技術的實現與應用進展情況,與百余名專業觀眾共同探討行業研究成果與實踐經驗。
本次沙龍由FIDO聯盟中國工作組聯合主席柴海新主持,他指出,在數字化日益普及的今天,無論是線上購物、社交媒體登錄,還是企業內部的權限管理,身份驗證都是保障信息安全的關鍵。
自2022年蘋果公司對外宣布新的密碼認證功能Passkeys以來,無密碼身份認證技術在行業內就引起了廣泛的關注和討論,為當下互聯網賬號體系帶來易用性、安全性和廣泛性等多維度的巨大變革。國際上,微軟、谷歌等巨頭也都在加速推進。
作為國內Android生態首家支持Passkeys技術的設備廠商,OPPO在ColorOS 14的發布會上就正式發布了自主研發的以生物特征認證為基礎、可跨多終端使用的身份密鑰技術。早在FIDO聯盟提出安全密鑰的概念時,OPPO就已經非常有前瞻性的對這項技術開始了深入研究。得益于多年在數字身份密鑰行業的技術沉淀,OPPO才能在國內率先推出以生物特征認證為基礎、可跨多終端使用的身份密鑰技術,打通行業生態壁壘。
OPPO高級研發工程師李陽本次也應邀分享了OPPO在Passkeys方面的實踐經驗。以下內容整理自演講議題《OPPO身份密鑰-FIDO2實踐分享》,主要內容如下:
● OPPO身份密鑰推出的背景
● OPPO身份密鑰的使用場景
● OPPO身份密鑰的技術方案
● OPPO身份密鑰的行業展望
● 如何接入OPPO身份密鑰
01
OPPO推出身份密鑰的背景
我們最熟悉的的身份驗證方式無疑是使用賬戶密碼進行登錄,但是密碼在易用性和安全性上一直存在諸多問題。
首先是安全性上的問題。當前針對密碼已經形成了多種形式和規模的攻擊,并已逐漸演變為可以規避多因素驗證的方式,導致身份盜用風險持續增長。最常見的攻擊包括網絡釣魚、暴力破解、憑據替換、惡意軟件和中間人。
為了提高安全性,開發者通常建議用戶設置復雜的密碼且在不同應用使用不同的密碼,并且會啟用多因素驗證來加強身份驗證的安全性,但這就導致了易用性方面的問題,如:
● 密碼管理復雜,容易忘記密碼;
● 增加登錄時間,降低登錄成功率;
● 某些多因素認證方式專業性高,會讓用戶困惑,不適合普通用戶。
傳統方式很難兼顧易用性和安全性,我們需要的是一種既安全又簡單的身份認證方式。2023年3月份FIDO聯盟提出了多設備FIDO憑證的概念,通過優化身份驗證的可訪問和可用性,在增加安全性的同時提升用戶體驗。多設備FIDO憑證重新定義身份的方式,將現實的身份映射進在線服務中,為用戶提供了高安全級別、簡單快速、生物特征的新解決方案。
在FIDO聯盟發布多設備憑證白皮書后,蘋果、微軟、谷歌等科技巨頭陸續宣布對此技術的支持,并相繼完成了身份認證底層的基礎設施建設。如Google Account于今年初接入了無密碼認證方式。根據其提供的統計數據顯示,無密登錄的成功率比密碼方式高4倍,使用密碼登錄的成功率僅為13.8%,而使用無密登錄的成功率為63.8%。無密登錄不僅更易于使用,而且比密碼更快,這種易用性是無密身份認證的的關鍵價值。
而OPPO也在ColorOS 14的發布會上正式宣布上線身份密鑰功能,成為國內Android生態首家支持Passkeys技術的設備廠商。
OPPO身份密鑰目前支持的特性包括:
● 單設備密鑰(密鑰綁定到設備,不可多端同步),多設備密鑰(密鑰在設備間通過端到端加密進行云同步);
● 支持手機作為認證器的internal和hybrid傳輸方式,支持通過USB、NFC或BLE使用外置硬件安全密鑰;
● 支持可發現憑證的匿名方式認證,提供多賬號選擇器;
● OPPO密碼本提供了多設備密鑰的管理功能,同時提供基于端到端加密的云同步功能;
● OPPO瀏覽器提供了對 WebAuthn(Web Authentication API) JS 接口的支持,支持Web業務使用OPPO身份密鑰。
02
OPPO身份密鑰的使用場景
OPPO身份密鑰技術是基于行業標準化,通過生物識別技術,提供更高安全級別的身份認證,能夠大幅度簡化用戶的登錄步驟,加速實現簡單、易用、安全的無密碼登錄體驗。而且,還可以實現跨多終端安全使用。
在分享OPPO身份密鑰的技術原理之前,我們先了解一下身份密鑰的使用場景。這里簡單展示一下OPPO身份密鑰對Passkeys的支持。
首先,使用OPPO瀏覽器訪問 github 網站,點擊網頁上的“add a passkey”按鈕,再進行一次指紋或者面部校驗即可完成Passkey的創建。創建一個密鑰的流程和完成手機屏幕解鎖的方式一模一樣,非常貼近用戶日常的使用習慣。
那么如何使用注冊后的密鑰進行登錄?我們可以用剛剛注冊的那個密鑰來登錄github網站。點擊“sign in with a passkey”按鈕,再進行一次指紋或者面部校驗即可完成登錄,同樣非常簡單。
OPPO身份密鑰是基于FIDO技術標準而進行研發的,可以無縫對接蘋果、Google、微軟的Passkeys,在技術上具備跨設備、跨生態特性。通過相機掃描二維碼的方式,用戶可以將手機作為漫游認證器進行密鑰的注冊和登錄。也就是說,用戶可以拿自己的手機,來掃描其他設備顯示的二維碼,來授權賬號在其他設備上登錄。顯示二維碼的手機和掃描二維碼的手機可以是同一個廠商的也可以是不同廠商的。
譬如這個場景,在iPhone上通過safari瀏覽器打開github網站,點擊“sign in with a passkey”,選擇二維碼方式,然后使用OPPO手機的相機掃碼,按照提示完成身份認證后,就可以在iPhone上成功登陸github網站。
OPPO賬號從ColorOS14開始接入身份密鑰,下面這兩張截圖展示了如何使用OPPO手機掃碼OPPO Pad,使其登錄OPPO賬號。
OPPO設備創建的Passkeys可以通過基于端到端加密的密碼本云同步機制,自動同步到登錄相同OPPO賬號的其他 OPPO 設備。因此用戶的密鑰隨時可用,即使更換了設備也無需重新創建。從這張OPPO密碼本的截圖上,可以看到Google、微軟的賬號都已經接入了Passkeys,用戶注冊的Passkeys保存在了OPPO密碼本中,可隨時使用OPPO設備中保存的Passkeys登錄Google、微軟的賬號。
用戶使用體驗上,OPPO身份密鑰擁有三大顯著優點。首先,使用密鑰可以減少用戶輸入,用戶不需要記憶密碼,甚至都不需要記憶賬號。其次,使用指紋或面部進行身份認證,快速便捷,增加登錄成功率。最后,密鑰通過OPPO密碼本進行多端同步,快速簡單易用。當然,這些優點都是建立在安全可信賴的技術保障上,用戶可放心使用。
03
OPPO身份密鑰的技術方案
接下來聊聊OPPO身份密鑰的技術原理。從下面這張技術架構圖中,可以了解身份密鑰技術的三個重要參與方分別是認證器、客戶端和應用服務提供方。
對于手機來說,認證器和客戶端都內置在手機系統中,客戶端向應用提供方發起注冊或登錄請求接口,應用服務提供方返回WebAuthn報文,客戶端將此報文進行CTAP協議轉換后交給認證器,用戶進行指紋或面容認證成功后,生成認證器報文返回給應用服務提供方,應用服務對報文校驗成功后返回注冊或登錄成功。
簡單來說,創建一個身份密鑰的過程,就是生成一對非對稱的密鑰,將私鑰留在手機中加密保存,然后將公鑰交給應用服務端保存。
而使用密鑰登錄,就是證明擁有密鑰的私鑰,證明的過程就是將服務器發過來的一段數據進行簽名,將簽名信息交回給服務端驗簽,服務端使用密鑰的公鑰驗簽通過后返回登錄態,完成登錄流程。
密鑰的便捷性無庸置疑了,那么,安全性來自哪些方面呢?
OPPO設備提供端到端的加密來保障身份密鑰可以安全地在各個設備上同步。端到端加密是目前安全級別非常高的一種端云協同加密技術,使用用戶自己設備的鎖屏密碼的派生密鑰對私鑰進行加密保護,這意味著只有用戶可以解密和使用私鑰,任何第三方包括OPPO都無法解密用戶的私鑰。
同時,OPPO身份密鑰的安全性還體現在以下方面:
● 使用公鑰代替密碼存儲在應用服務提供方服務器,抵御了撞庫、數據泄露等被盜號的風險;
● 通過數字資產證明確保密鑰只能在受信任網站和應用創建和使用,抵御釣魚攻擊;
● 密鑰在設備的可信執行環境中生成,使用受硬件保護的加密密鑰進行加密后存儲在安全文件系統中,保證私鑰不被竊取;
● OPPO密碼本為密鑰提供了基于端到端加密的多端云同步功能,避免了內部惡意攻擊。
04
OPPO身份密鑰的未來展望
無密碼、更安全的新一代快速身份認證趨勢已經勢不可擋。展望未來,從易用性和安全性來說,無密碼登錄是整個行業的大趨勢,在各行各業都有廣闊的應用場景,譬如:
● 數字安全與身份驗證,確保敏感數據的安全性;
● 支付和交易等金融領域,確保資產的安全性;
● 智能家居、IoT、車載控制系統,進行身份識別,防盜;
● 政府的公共服務領域,電子投票、電子身份證明等場景;
● 教育領域,學生身份驗證和在線考試安全性等場景。
而以生物特征認證為基礎、可跨多終端使用的OPPO身份密鑰技術,一方面通過強大的加密技術使賬號具備更高安全級別,保障用戶信息和資產安全,另一方面兼容快速身份認證行業標準,無縫對接蘋果、Google、微軟等的Passkeys,助力生態安全,挖掘未來賬號體系的更多可能性。
隨著越來越多的設備對無密身份認證的支持,更多的應用開始接入無密身份認證,其前景將更加光明。
05
如何接入OPPO身份密鑰
OPPO身份密鑰體系自ColorOS14開始支持無密碼身份認證方式。
對于開發者來說,通過訪問OPPO開放平臺,即可了解接入OPPO身份密鑰的相關介紹、文檔、Demo等詳細內容。
易用性與安全性的融合,一直以來都是OPPO關注的重點之一。技術的發展一日千里,更便捷、更安全的數字生活時代已經慢慢展開。
