什么是通行证,对于您的消费者应用程序意味着什么?
密码一直是一个长期存在的问题。众所周知,我们中的许多人都使用可预测且弱的密码,默认情况下,即使我们不这样做,记住复杂的密码也成为一项挑战。
令人不安的事实是,即使是由复杂组合构成的强密码也无法免受网络钓鱼和骗局的影响。密码管理器曾经是一种临时解决方案,但它们存在缺陷和漏洞。
但是,远景带来了一些有希望的东西:经过近十年的努力,通行证将彻底改变我们的数字安全。下面是关于它们是什么,它们将如何改变数字身份验证领域,以及这对您的消费者应用程序意味着什么的入门指南。
了解通行证
通行证与传统的用户名密码组合不同,它提供了一种更安全和更轻松的方法来登录在线平台。通行证的美妙之处在于它们依赖于公钥加密技术。不过不深入技术细节 – 每次登录时,您的设备都会接收到一个唯一的登录凭证。
这个过程最大限度地减少了黑客获取您信息的风险。这一突破是由fido联盟实现的,该联盟是由苹果、谷歌、微软等许多技术巨头组成,他们意识到了更安全的身份验证方法的紧迫性。
通行证是如何工作的?
通行证属于web身份验证(webauthn)范畴。这个系统利用公钥加密技术,这是各种安全的消息和支付平台使用的一种经过验证的方法。
以下是一个简要的说明:
- 公钥和私钥:在创建账户时,会生成两个密钥。公钥存储在服务的服务器上,不需要保密。相反,私钥则保存在您的设备上。
- 身份验证过程:当登录时,服务使用您的公钥来向您的设备发送挑战。您设备上的私钥应对这个挑战,而不会泄露任何敏感信息。这样确保了安全的、无法入侵的身份验证。
对于用户来说,这个过程基本上是看不见的。您只会遇到一个简单的设备或浏览器提示,要求您输入pin码或进行生物识别验证,如faceid或touchid。
通行证还有一个额外的层次,将这些密钥同步在各个大型科技公司(苹果、谷歌、微软)的云服务中。这个重要的层次填补了用户体验的差距,允许无缝切换设备而无需重新注册密钥,这被认为是fido2面向主流采用的一个重要缺口。
由于通行证在定义上包括多个因素,它符合多因素身份验证(mfa)的定义,具体满足以下条件:
- 拥有因素(拥有某种东西) – 用户拥有包含私钥的设备
- 特质因素或知识因素 – 用户的生物特征(faceid、touchid、指纹)或设备pin码
这些特性使通行证成为登录场景中有效的唯一身份验证因素,或者在升级身份验证场景中作为其他因素的补充。查看这个真实世界的通行证演示,了解如何实际应用。
设备兼容性
目前来说,跨平台的通行密钥功能仍在不断完善中。苹果的ios和macos设备支持通行密钥,谷歌的android设备也支持。微软也在增强对通行密钥的支持,并计划在不久的将来进行重大更新。
这是一个最新的设备支持列表。
你可以做些什么来开始实施通行密钥?
只要你有必要的基础设施,实施通行密钥就可以很简单。在你的架构中,webauthn后端服务或服务器是一个关键部分,它提供了管理通行密钥完整生命周期的后端api端点。
一旦建立了webauthn服务,就需要访问客户端sdk和库来执行客户端的注册和验证过程。好消息是,现在有很多广泛可用的客户端库可以简化这个过程。例如,authsignal在这里提供了以下sdk:
- 用于通行密钥的javascript sdk
- 用于通行密钥的react native sdk
- 用于通行密钥的ios sdk
- 用于通行密钥的android sdk
重要的是要注意,技术集成只是更广泛实施的一部分。用户体验和安全考虑应该得到充分理解。通行密钥实施的注意事项在一篇博文中有详细解释。
通行密钥,未来就在眼前。
我们现在正处于通行密钥技术迅速成熟的令人兴奋的交汇点。现代浏览器和设备,尤其是苹果和android生态系统中的设备,广泛支持通行密钥,并且主流的消费者应用现在正在发布通行密钥功能(例如kayak,tiktok)。最后,技术集成变得更简单了,有了像authsignal这样的开箱即用的通行密钥解决方案,提供了后端webauthn服务和客户端sdk等所有组成部分。
你的应用程序采用通行密钥作为与客户互动的关键部分,并为他们提供无缝的用户体验,更重要的是,提供高度安全的体验,不应该有任何主要的借口或障碍。