从密码认证到 Passkey 无密码，告别传统密码时代

2022 年“终结密码”被《麻省理工科技评论》评为“十大突破性技术”，与之并列的包括新冠口服药、实用型聚变反应堆等。“终结密码”作为身份管理领域的核心技术挑战，是信息化建设及网络安全中不可忽视的重要部分。密码作为一种安全防护手段，正面临着失去效用的风险。尽管互联网厂商劝导用户使用更复杂的密码，例如要求包含大小写字母、数字和特殊字符，人们通过不断加强密码复杂度、在不同平台设置不同的密码等手段来提升密码的安全性。然而，密码被攻破的现象仍然层出不穷。

部分企业仅依赖密码作为身份认证凭证，会面临各类安全挑战。例如，弱口令暴力破解、口令数据库被拖库、密码重用被撞库、木马钓鱼定向攻击等。时至今日，密码问题仍然是全球范围内导致重大网络安全事件的主要因素。随着互联网不断发展，社交网络、电商购物、游戏娱乐、本地生活等，充斥着大量的个人信息资产，对于用户而言，记忆大量复杂的密码本身成为负担，使得用户将采取重复使用密码，设置简单的密码进行身份认证。即使出现 lastpass、1password 等密码管理器，但自身服务安全性的不足会带来更大的隐患。

01.Passkey 无密码认证如何「取代」密码认证？

密码之所以出现上述种种困境，究其原因是因为密码身份认证凭证的中心化管理，当被他人获取密码后，对于云端服务来说皆可获得合法身份访问。后来也增加了一些多因素认证（Multi Factor Authentication，即MFA），但也存在一定的被拦截风险。

而无密码认证与密码认证的不同，主要就是借鉴零知识证明思想（Zero-Knowledge Proof，即 ZKP ）。它的思想是允许一个证明者（Prover）证明某个断言为真，而不泄露关于该断言的任何其他信息，即证明者可以向验证者（Verifier）证明自己拥有某种信息，但并不需要向验证者透露这种信息的具体内容。即身份验证并非必须依赖身份凭证本身，也可以通过数字签名确认认证结果，从而将认证方式与认证协议相分离。

目前，苹果、谷歌、微软三大科技巨头都宣布了支持 Passkey 无密码认证标准，未来移动智慧终端（手机、智能手表等）将成为互联网上的万能钥匙。Passkey 允许用户像解锁设备一样登录应用和网站。而且，与密码不同，Passkey 可以抵御网络钓鱼等在线攻击，这使得它们比一次性短信验证码更安全。

Passkey 可以被理解为是“生物密码”技术 和 “授权登录” 技术的结合。用户可以创建一个基于公钥加密的密钥凭据，并需要对该凭据进行生物特征识别，比如 “指纹” 或者 “面部识别” 等。公钥和私钥的工作原理可类比于传统的带有“防盗”锁的信箱。想象公钥如同信箱的防盗锁，公开展示给所有人。与之对应的，私钥则类似于信箱锁的独一无二的钥匙，只有信箱的主人拥有。邮递员投递的信件代表我们要加密的信息。通过使用公钥，就像将信息投递到带有防盗锁的信箱中并上锁一样，确保信息在传输过程中得到了安全加密。只有拥有正确私钥（信箱的独一无二的钥匙）的信箱主人才能解锁并读取这些信息。如果一个人手上没有钥匙，那就需要用暴力开防盗锁，整个过程不仅耗时耗力，最后也往往没办法打开那把防盗锁。

02.告别记密码！“上手”轻松验证

Authing 作为国内领先的身份认证服务商，率先推出 Passkey 无密码认证服务，填补国内密码认证缺陷，降低数据泄漏风险。Passkey 无密码认证能够大幅提升用户体验，免去用户记录大量平台密码的困扰，且在需要频繁认证的业务场景下，避免频繁输入各类口令的麻烦。即使服务端发生账号泄漏事故，或因用户的安全意识不足，遭遇密码暴力破解、钓鱼攻击以及社会工程促使的主动泄漏等问题，攻击者也无法通过获取的密码用于登录用户账号，不会因用户账号凭证泄漏造成更大的危害

快速无感身份验证

Passkey 主要想实现的是在原本的「用户名-密码」安全体系外，寻找一种更为简单、直接，但同样具备安全性的用户身份验证方式。比如你正在使用一台设置了面容 ID 的 iPhone，通过面容 ID 解锁这台 iPhone 即可证明目前是你本人正在操作——而这要比输入登录信息、甚至自动填充登录信息都要快速无感。借助 Passkey ，您可以使用自己的指纹、面容等登录您的账号。

一键开启 Passkey 登录能力

Authing 提供可视化面板，用户可以根据自身需求，快速开启 Passkey 登录。

两步快速创建认证

Authing 用户现在可以直接快速创建 Passkey ，用户所使用的生物识别数据也不会与任何其他第三方共享，密钥只存在于用户设备上。

Passkey 的生成过程需要用户进行生物识别等技术来完成验证，验证完成后生成两个加密密钥，一个私钥驻留在用户的认证器硬件上，另一个公钥驻留在服务器上并与该账户相关联。

三步验证登录方式

管理员开启并创建 Passkey 无密码认证后，进入 Authing 的官网登录界面，账号管理页面底部会出现 Passkey 身份登录。当用户在客户端登录账户的时候，可以选择安全性相对较高的指纹或面部辨识等生物识别方式解锁私钥，然后与服务器的 API 交互完成签名。只有在公钥和私钥配对成功，并且验证通过的情况下，系统才会判定用户登录成功。这样一来，就算黑客进入到了服务器，窃取到了用户的公钥，仍然无法伪造用户的私钥身份，有效保障了账户的安全性。