作者 / Android 产品经理 Diego Zavala、帐号安全产品经理 Christiaan Brand、身份生态系统软件工程师 Ali Naddaf、Chrome 软件工程师 Ken Buchanan
Android 和 Chrome 现已支持密钥,即刻探索
Google 已为 Android 和 Chrome 提供密钥支持。
密钥是密码和其他第二重身份验证的更加安全的替代方法。密钥不能重复使用,也不会在服务器遭入侵时泄露,还能保护用户免受网络钓鱼的攻击。密钥基于 业界标准 而构建,可跨不同的操作系统和浏览器生态系统工作,也可用于网站和应用。
密钥遵循常见的用户体验模式并沿用现有的密码自动填充界面。对终端用户而言,密钥的使用方法类似于如今已保存的密码的使用方法,用户只需使用现有设备屏幕解锁方式 (例如指纹) 进行确认即可。用户手机和电脑上的密钥可通过云端备份和同步,以防止设备丢失时无法解锁。此外,用户还可以使用存储在手机中的密钥来登录附近其他设备上的应用和网站。
现在所发布的公告是我们使用密钥工作的一个重要里程碑,其中实现了两个关键功能:
- 用户可以在 Android 设备上创建和使用密钥,密钥则 通过 Google 密码管理器进行安全同步。
- 开发者可以通过 WebAuthn API,在其网站上为使用 Android 和其他支持平台上的 Chrome 终端用户 构建密钥支持。
开发者可以注册 Google Play Services Beta 版 并使用 Chrome Canary 版,立即体验密钥。这两项功能将于今年晚些时候在稳定渠道正式发布。
我们 2022 年的下一个里程碑是为原生 Android 应用发布一个 API。通过 Web API 创建的密钥将与隶属于同一域的应用无缝协作,反之亦然。该原生 API 将为应用提供一种统一的方式,让用户选择密钥或保存的密码。无缝、熟悉的密码和密钥用户体验可帮助用户和开发者逐渐过渡到密钥。
使用密钥在 Android 设备上登录网站
终端用户创建密钥只需要两个步骤: (1) 确认密钥帐号信息;(2) 出现提示时使用指纹、人脸识别或屏幕锁进行创建。
登录也同样简单: (1) 用户选择他们想要登录的帐号;(2) 出现提示时使用指纹、人脸识别或屏幕锁完成登陆。
在 Android 设备上使用密钥登录附近电脑上的网站
手机上的密钥也可用于在附近的设备上进行登录。例如,Android 用户现在可以在 Mac 上使用 Safari 登录启用密钥的网站。同样地,Chrome 中的密钥支持意味着 Chrome 用户 (例如在 Windows 上) 可以使用存储在其 iOS 设备上的密钥执行相同的操作。
由于密钥是基于业界标准而构建的,因此它适用于不同的平台和浏览器 (包括 Windows、macOS 和 iOS 以及 ChromeOS) 且具有统一的用户体验。
持续致力于实现无密码的未来
多年来,我们一直与业内其他公司 (包括 Apple 和 Microsoft) 以及 FIDO 联盟 和 W3C 的成员合作推动安全身份验证标准的进步。自 W3C Webauthn 和 FIDO 标准发布之初,我们便已提供对这两项标准的支持。
时至今日,我们已经抵达了一个重要的里程碑,但探索不止,步履不停。Google 一如既往致力于打造一个用户可以自行选择密码和密码存储位置的新世界。欢迎您继续关注我们明年即将发布的更多新内容。我们将为 Android 引入一些变更,使第三方凭据管理器能够支持其用户的密钥。
欢迎您 点击这里 向我们提交反馈,或分享您喜欢的内容、发现的问题。您的反馈对我们非常重要,感谢您的 支持!