國(guó)內(nèi)首發(fā)!OPPO身份密鑰亮相Passkeys技術(shù)論壇,與FIDO聯(lián)盟探討行業(yè)發(fā)展方向

  • 人閱讀
  • 2024-01-10 16:21:27

  • 來(lái)源:西盟科技資訊

  • 相關(guān)關(guān)鍵詞

隨著互聯(lián)網(wǎng)的普及和移動(dòng)設(shè)備的廣泛應(yīng)用,人們對(duì)于身份認(rèn)證安全性和便捷性的要求也越來(lái)越高,Passkeys技術(shù)應(yīng)運(yùn)而生,為互聯(lián)網(wǎng)安全和數(shù)字化進(jìn)程注入了新的活力。近日,由FIDO聯(lián)盟中國(guó)工作組主辦、國(guó)民認(rèn)證承辦的在線(xiàn)沙龍活動(dòng)“Passkeys技術(shù)實(shí)現(xiàn)與應(yīng)用”成功舉辦,聚焦國(guó)內(nèi)產(chǎn)業(yè)界對(duì)于Passkeys技術(shù)的實(shí)現(xiàn)與應(yīng)用進(jìn)展情況,與百余名專(zhuān)業(yè)觀眾共同探討行業(yè)研究成果與實(shí)踐經(jīng)驗(yàn)。

本次沙龍由FIDO聯(lián)盟中國(guó)工作組聯(lián)合主席柴海新主持,他指出,在數(shù)字化日益普及的今天,無(wú)論是線(xiàn)上購(gòu)物、社交媒體登錄,還是企業(yè)內(nèi)部的權(quán)限管理,身份驗(yàn)證都是保障信息安全的關(guān)鍵。

自2022年蘋(píng)果公司對(duì)外宣布新的密碼認(rèn)證功能Passkeys以來(lái),無(wú)密碼身份認(rèn)證技術(shù)在行業(yè)內(nèi)就引起了廣泛的關(guān)注和討論,為當(dāng)下互聯(lián)網(wǎng)賬號(hào)體系帶來(lái)易用性、安全性和廣泛性等多維度的巨大變革。國(guó)際上,微軟、谷歌等巨頭也都在加速推進(jìn)。

作為國(guó)內(nèi)Android生態(tài)首家支持Passkeys技術(shù)的設(shè)備廠商,OPPO在ColorOS 14的發(fā)布會(huì)上就正式發(fā)布了自主研發(fā)的以生物特征認(rèn)證為基礎(chǔ)、可跨多終端使用的身份密鑰技術(shù)。早在FIDO聯(lián)盟提出安全密鑰的概念時(shí),OPPO就已經(jīng)非常有前瞻性的對(duì)這項(xiàng)技術(shù)開(kāi)始了深入研究。得益于多年在數(shù)字身份密鑰行業(yè)的技術(shù)沉淀,OPPO才能在國(guó)內(nèi)率先推出以生物特征認(rèn)證為基礎(chǔ)、可跨多終端使用的身份密鑰技術(shù),打通行業(yè)生態(tài)壁壘。

OPPO高級(jí)研發(fā)工程師李陽(yáng)本次也應(yīng)邀分享了OPPO在Passkeys方面的實(shí)踐經(jīng)驗(yàn)。以下內(nèi)容整理自演講議題《OPPO身份密鑰-FIDO2實(shí)踐分享》,主要內(nèi)容如下:

● OPPO身份密鑰推出的背景

● OPPO身份密鑰的使用場(chǎng)景

● OPPO身份密鑰的技術(shù)方案

● OPPO身份密鑰的行業(yè)展望

● 如何接入OPPO身份密鑰

01

OPPO推出身份密鑰的背景

我們最熟悉的的身份驗(yàn)證方式無(wú)疑是使用賬戶(hù)密碼進(jìn)行登錄,但是密碼在易用性和安全性上一直存在諸多問(wèn)題。

首先是安全性上的問(wèn)題。當(dāng)前針對(duì)密碼已經(jīng)形成了多種形式和規(guī)模的攻擊,并已逐漸演變?yōu)榭梢砸?guī)避多因素驗(yàn)證的方式,導(dǎo)致身份盜用風(fēng)險(xiǎn)持續(xù)增長(zhǎng)。最常見(jiàn)的攻擊包括網(wǎng)絡(luò)釣魚(yú)、暴力破解、憑據(jù)替換、惡意軟件和中間人。

為了提高安全性,開(kāi)發(fā)者通常建議用戶(hù)設(shè)置復(fù)雜的密碼且在不同應(yīng)用使用不同的密碼,并且會(huì)啟用多因素驗(yàn)證來(lái)加強(qiáng)身份驗(yàn)證的安全性,但這就導(dǎo)致了易用性方面的問(wèn)題,如:

● 密碼管理復(fù)雜,容易忘記密碼;

● 增加登錄時(shí)間,降低登錄成功率;

● 某些多因素認(rèn)證方式專(zhuān)業(yè)性高,會(huì)讓用戶(hù)困惑,不適合普通用戶(hù)。

傳統(tǒng)方式很難兼顧易用性和安全性,我們需要的是一種既安全又簡(jiǎn)單的身份認(rèn)證方式。2023年3月份FIDO聯(lián)盟提出了多設(shè)備FIDO憑證的概念,通過(guò)優(yōu)化身份驗(yàn)證的可訪(fǎng)問(wèn)和可用性,在增加安全性的同時(shí)提升用戶(hù)體驗(yàn)。多設(shè)備FIDO憑證重新定義身份的方式,將現(xiàn)實(shí)的身份映射進(jìn)在線(xiàn)服務(wù)中,為用戶(hù)提供了高安全級(jí)別、簡(jiǎn)單快速、生物特征的新解決方案。

在FIDO聯(lián)盟發(fā)布多設(shè)備憑證白皮書(shū)后,蘋(píng)果、微軟、谷歌等科技巨頭陸續(xù)宣布對(duì)此技術(shù)的支持,并相繼完成了身份認(rèn)證底層的基礎(chǔ)設(shè)施建設(shè)。如Google Account于今年初接入了無(wú)密碼認(rèn)證方式。根據(jù)其提供的統(tǒng)計(jì)數(shù)據(jù)顯示,無(wú)密登錄的成功率比密碼方式高4倍,使用密碼登錄的成功率僅為13.8%,而使用無(wú)密登錄的成功率為63.8%。無(wú)密登錄不僅更易于使用,而且比密碼更快,這種易用性是無(wú)密身份認(rèn)證的的關(guān)鍵價(jià)值。

而OPPO也在ColorOS 14的發(fā)布會(huì)上正式宣布上線(xiàn)身份密鑰功能,成為國(guó)內(nèi)Android生態(tài)首家支持Passkeys技術(shù)的設(shè)備廠商。

OPPO身份密鑰目前支持的特性包括:

● 單設(shè)備密鑰(密鑰綁定到設(shè)備,不可多端同步),多設(shè)備密鑰(密鑰在設(shè)備間通過(guò)端到端加密進(jìn)行云同步);

● 支持手機(jī)作為認(rèn)證器的internal和hybrid傳輸方式,支持通過(guò)USB、NFC或BLE使用外置硬件安全密鑰;

● 支持可發(fā)現(xiàn)憑證的匿名方式認(rèn)證,提供多賬號(hào)選擇器;

● OPPO密碼本提供了多設(shè)備密鑰的管理功能,同時(shí)提供基于端到端加密的云同步功能;

● OPPO瀏覽器提供了對(duì) WebAuthn(Web Authentication API) JS 接口的支持,支持Web業(yè)務(wù)使用OPPO身份密鑰。

02

OPPO身份密鑰的使用場(chǎng)景

OPPO身份密鑰技術(shù)是基于行業(yè)標(biāo)準(zhǔn)化,通過(guò)生物識(shí)別技術(shù),提供更高安全級(jí)別的身份認(rèn)證,能夠大幅度簡(jiǎn)化用戶(hù)的登錄步驟,加速實(shí)現(xiàn)簡(jiǎn)單、易用、安全的無(wú)密碼登錄體驗(yàn)。而且,還可以實(shí)現(xiàn)跨多終端安全使用。

在分享OPPO身份密鑰的技術(shù)原理之前,我們先了解一下身份密鑰的使用場(chǎng)景。這里簡(jiǎn)單展示一下OPPO身份密鑰對(duì)Passkeys的支持。

首先,使用OPPO瀏覽器訪(fǎng)問(wèn) github 網(wǎng)站,點(diǎn)擊網(wǎng)頁(yè)上的“add a passkey”按鈕,再進(jìn)行一次指紋或者面部校驗(yàn)即可完成Passkey的創(chuàng)建。創(chuàng)建一個(gè)密鑰的流程和完成手機(jī)屏幕解鎖的方式一模一樣,非常貼近用戶(hù)日常的使用習(xí)慣。

那么如何使用注冊(cè)后的密鑰進(jìn)行登錄?我們可以用剛剛注冊(cè)的那個(gè)密鑰來(lái)登錄github網(wǎng)站。點(diǎn)擊“sign in with a passkey”按鈕,再進(jìn)行一次指紋或者面部校驗(yàn)即可完成登錄,同樣非常簡(jiǎn)單。

OPPO身份密鑰是基于FIDO技術(shù)標(biāo)準(zhǔn)而進(jìn)行研發(fā)的,可以無(wú)縫對(duì)接蘋(píng)果、Google、微軟的Passkeys,在技術(shù)上具備跨設(shè)備、跨生態(tài)特性。通過(guò)相機(jī)掃描二維碼的方式,用戶(hù)可以將手機(jī)作為漫游認(rèn)證器進(jìn)行密鑰的注冊(cè)和登錄。也就是說(shuō),用戶(hù)可以拿自己的手機(jī),來(lái)掃描其他設(shè)備顯示的二維碼,來(lái)授權(quán)賬號(hào)在其他設(shè)備上登錄。顯示二維碼的手機(jī)和掃描二維碼的手機(jī)可以是同一個(gè)廠商的也可以是不同廠商的。

譬如這個(gè)場(chǎng)景,在iPhone上通過(guò)safari瀏覽器打開(kāi)github網(wǎng)站,點(diǎn)擊“sign in with a passkey”,選擇二維碼方式,然后使用OPPO手機(jī)的相機(jī)掃碼,按照提示完成身份認(rèn)證后,就可以在iPhone上成功登陸github網(wǎng)站。

OPPO賬號(hào)從ColorOS14開(kāi)始接入身份密鑰,下面這兩張截圖展示了如何使用OPPO手機(jī)掃碼OPPO Pad,使其登錄OPPO賬號(hào)。

OPPO設(shè)備創(chuàng)建的Passkeys可以通過(guò)基于端到端加密的密碼本云同步機(jī)制,自動(dòng)同步到登錄相同OPPO賬號(hào)的其他 OPPO 設(shè)備。因此用戶(hù)的密鑰隨時(shí)可用,即使更換了設(shè)備也無(wú)需重新創(chuàng)建。從這張OPPO密碼本的截圖上,可以看到Google、微軟的賬號(hào)都已經(jīng)接入了Passkeys,用戶(hù)注冊(cè)的Passkeys保存在了OPPO密碼本中,可隨時(shí)使用OPPO設(shè)備中保存的Passkeys登錄Google、微軟的賬號(hào)。

用戶(hù)使用體驗(yàn)上,OPPO身份密鑰擁有三大顯著優(yōu)點(diǎn)。首先,使用密鑰可以減少用戶(hù)輸入,用戶(hù)不需要記憶密碼,甚至都不需要記憶賬號(hào)。其次,使用指紋或面部進(jìn)行身份認(rèn)證,快速便捷,增加登錄成功率。最后,密鑰通過(guò)OPPO密碼本進(jìn)行多端同步,快速簡(jiǎn)單易用。當(dāng)然,這些優(yōu)點(diǎn)都是建立在安全可信賴(lài)的技術(shù)保障上,用戶(hù)可放心使用。

03

OPPO身份密鑰的技術(shù)方案

接下來(lái)聊聊OPPO身份密鑰的技術(shù)原理。從下面這張技術(shù)架構(gòu)圖中,可以了解身份密鑰技術(shù)的三個(gè)重要參與方分別是認(rèn)證器、客戶(hù)端和應(yīng)用服務(wù)提供方。

對(duì)于手機(jī)來(lái)說(shuō),認(rèn)證器和客戶(hù)端都內(nèi)置在手機(jī)系統(tǒng)中,客戶(hù)端向應(yīng)用提供方發(fā)起注冊(cè)或登錄請(qǐng)求接口,應(yīng)用服務(wù)提供方返回WebAuthn報(bào)文,客戶(hù)端將此報(bào)文進(jìn)行CTAP協(xié)議轉(zhuǎn)換后交給認(rèn)證器,用戶(hù)進(jìn)行指紋或面容認(rèn)證成功后,生成認(rèn)證器報(bào)文返回給應(yīng)用服務(wù)提供方,應(yīng)用服務(wù)對(duì)報(bào)文校驗(yàn)成功后返回注冊(cè)或登錄成功。

簡(jiǎn)單來(lái)說(shuō),創(chuàng)建一個(gè)身份密鑰的過(guò)程,就是生成一對(duì)非對(duì)稱(chēng)的密鑰,將私鑰留在手機(jī)中加密保存,然后將公鑰交給應(yīng)用服務(wù)端保存。

而使用密鑰登錄,就是證明擁有密鑰的私鑰,證明的過(guò)程就是將服務(wù)器發(fā)過(guò)來(lái)的一段數(shù)據(jù)進(jìn)行簽名,將簽名信息交回給服務(wù)端驗(yàn)簽,服務(wù)端使用密鑰的公鑰驗(yàn)簽通過(guò)后返回登錄態(tài),完成登錄流程。

密鑰的便捷性無(wú)庸置疑了,那么,安全性來(lái)自哪些方面呢?

OPPO設(shè)備提供端到端的加密來(lái)保障身份密鑰可以安全地在各個(gè)設(shè)備上同步。端到端加密是目前安全級(jí)別非常高的一種端云協(xié)同加密技術(shù),使用用戶(hù)自己設(shè)備的鎖屏密碼的派生密鑰對(duì)私鑰進(jìn)行加密保護(hù),這意味著只有用戶(hù)可以解密和使用私鑰,任何第三方包括OPPO都無(wú)法解密用戶(hù)的私鑰。

同時(shí),OPPO身份密鑰的安全性還體現(xiàn)在以下方面:

● 使用公鑰代替密碼存儲(chǔ)在應(yīng)用服務(wù)提供方服務(wù)器,抵御了撞庫(kù)、數(shù)據(jù)泄露等被盜號(hào)的風(fēng)險(xiǎn);

● 通過(guò)數(shù)字資產(chǎn)證明確保密鑰只能在受信任網(wǎng)站和應(yīng)用創(chuàng)建和使用,抵御釣魚(yú)攻擊;

● 密鑰在設(shè)備的可信執(zhí)行環(huán)境中生成,使用受硬件保護(hù)的加密密鑰進(jìn)行加密后存儲(chǔ)在安全文件系統(tǒng)中,保證私鑰不被竊取;

● OPPO密碼本為密鑰提供了基于端到端加密的多端云同步功能,避免了內(nèi)部惡意攻擊。

04

OPPO身份密鑰的未來(lái)展望

無(wú)密碼、更安全的新一代快速身份認(rèn)證趨勢(shì)已經(jīng)勢(shì)不可擋。展望未來(lái),從易用性和安全性來(lái)說(shuō),無(wú)密碼登錄是整個(gè)行業(yè)的大趨勢(shì),在各行各業(yè)都有廣闊的應(yīng)用場(chǎng)景,譬如:

● 數(shù)字安全與身份驗(yàn)證,確保敏感數(shù)據(jù)的安全性;

● 支付和交易等金融領(lǐng)域,確保資產(chǎn)的安全性;

● 智能家居、IoT、車(chē)載控制系統(tǒng),進(jìn)行身份識(shí)別,防盜;

● 政府的公共服務(wù)領(lǐng)域,電子投票、電子身份證明等場(chǎng)景;

● 教育領(lǐng)域,學(xué)生身份驗(yàn)證和在線(xiàn)考試安全性等場(chǎng)景。

而以生物特征認(rèn)證為基礎(chǔ)、可跨多終端使用的OPPO身份密鑰技術(shù),一方面通過(guò)強(qiáng)大的加密技術(shù)使賬號(hào)具備更高安全級(jí)別,保障用戶(hù)信息和資產(chǎn)安全,另一方面兼容快速身份認(rèn)證行業(yè)標(biāo)準(zhǔn),無(wú)縫對(duì)接蘋(píng)果、Google、微軟等的Passkeys,助力生態(tài)安全,挖掘未來(lái)賬號(hào)體系的更多可能性。

隨著越來(lái)越多的設(shè)備對(duì)無(wú)密身份認(rèn)證的支持,更多的應(yīng)用開(kāi)始接入無(wú)密身份認(rèn)證,其前景將更加光明。

05

如何接入OPPO身份密鑰

OPPO身份密鑰體系自ColorOS14開(kāi)始支持無(wú)密碼身份認(rèn)證方式。

對(duì)于開(kāi)發(fā)者來(lái)說(shuō),通過(guò)訪(fǎng)問(wèn)OPPO開(kāi)放平臺(tái),即可了解接入OPPO身份密鑰的相關(guān)介紹、文檔、Demo等詳細(xì)內(nèi)容。

易用性與安全性的融合,一直以來(lái)都是OPPO關(guān)注的重點(diǎn)之一。技術(shù)的發(fā)展一日千里,更便捷、更安全的數(shù)字生活時(shí)代已經(jīng)慢慢展開(kāi)。

(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。 )