作者 /Android 產(chǎn)品經(jīng)理 Diego Zavala、帳號安全產(chǎn)品經(jīng)理 Christiaan Brand、身份生態(tài)系統(tǒng)軟件工程師 Ali Naddaf、Chrome 軟件工程師 Ken Buchanan

Android 和 Chrome 現(xiàn)已支持密鑰，即刻探索

Google 已為 Android 和 Chrome 提供密鑰支持。

密鑰是密碼和其他第二重身份驗證的更加安全的替代方法。密鑰不能重復使用，也不會在服務器遭入侵時泄露，還能保護用戶免受網(wǎng)絡釣魚的攻擊。密鑰基于業(yè)界標準而構建，可跨不同的操作系統(tǒng)和瀏覽器生態(tài)系統(tǒng)工作，也可用于網(wǎng)站和應用。

業(yè)界標準

https://fidoalliance.org/apple-google-and-microsoft-commit-to-expanded-support-for-fido-standard-to-accelerate-availability-of-passwordless-sign-ins/

密鑰遵循常見的用戶體驗模式并沿用現(xiàn)有的密碼自動填充界面。對終端用戶而言，密鑰的使用方法類似于如今已保存的密碼的使用方法，用戶只需使用現(xiàn)有設備屏幕解鎖方式 (例如指紋) 進行確認即可。用戶手機和電腦上的密鑰可通過云端備份和同步，以防止設備丟失時無法解鎖。此外，用戶還可以使用存儲在手機中的密鑰來登錄附近其他設備上的應用和網(wǎng)站。 現(xiàn)在所發(fā)布的公告是我們使用密鑰工作的一個重要里程碑，其中實現(xiàn)了兩個關鍵功能:

用戶可以在 Android 設備上創(chuàng)建和使用密鑰，密鑰則通過 Google 密碼管理器進行安全同步。

開發(fā)者可以通過 WebAuthn API，在其網(wǎng)站上為使用 Android 和其他支持平臺上的 Chrome 終端用戶構建密鑰支持。

通過 Google 密碼管理器進行安全同步

https://security.googleblog.com/2022/10/SecurityofPasskeysintheGooglePasswordManager.html

構建密鑰支持

https://web.dev/passkey-form-autofill

開發(fā)者可以注冊 Google Play Services Beta 版并使用 Chrome Canary 版，立即體驗密鑰。這兩項功能將于今年晚些時候在穩(wěn)定渠道正式發(fā)布。

Google Play Services Beta 版

https://developers.google.cn/android/guides/beta-program

Chrome Canary 版

https://www.google.cn/chrome/canary/

我們 2022 年的下一個里程碑是為原生 Android 應用發(fā)布一個 API。通過 Web API 創(chuàng)建的密鑰將與隸屬于同一域的應用無縫協(xié)作，反之亦然。該原生 API 將為應用提供一種統(tǒng)一的方式，讓用戶選擇密鑰或保存的密碼。無縫、熟悉的密碼和密鑰用戶體驗可幫助用戶和開發(fā)者逐漸過渡到密鑰。

使用密鑰在 Android 設備上登錄網(wǎng)站

終端用戶創(chuàng)建密鑰只需要兩個步驟: (1) 確認密鑰帳號信息；(2) 出現(xiàn)提示時使用指紋、人臉識別或屏幕鎖進行創(chuàng)建。

登錄也同樣簡單:(1) 用戶選擇他們想要登錄的帳號；(2) 出現(xiàn)提示時使用指紋、人臉識別或屏幕鎖完成登陸。

在 Android 設備上使用密鑰登錄附近電腦上的網(wǎng)站

手機上的密鑰也可用于在附近的設備上進行登錄。例如，Android 用戶現(xiàn)在可以在 Mac 上使用 Safari 登錄啟用密鑰的網(wǎng)站。同樣地，Chrome 中的密鑰支持意味著 Chrome 用戶 (例如在 Windows 上) 可以使用存儲在其 iOS 設備上的密鑰執(zhí)行相同的操作。

由于密鑰是基于業(yè)界標準而構建的，因此它適用于不同的平臺和瀏覽器 (包括 Windows、macOS 和 iOS 以及 ChromeOS) 且具有統(tǒng)一的用戶體驗。

持續(xù)致力于實現(xiàn)無密碼的未來

多年來，我們一直與業(yè)內其他公司 (包括 Apple 和 Microsoft) 以及 FIDO 聯(lián)盟和 W3C 的成員合作推動安全身份驗證標準的進步。自 W3C Webauthn 和 FIDO 標準發(fā)布之初，我們便已提供對這兩項標準的支持。

多年來

https://blog.google/technology/safety-security/one-step-closer-to-a-passwordless-future/

FIDO 聯(lián)盟

https://fidoalliance.org/

W3C

https://www.w3.org/

W3C Webauthn

https://www.w3.org/TR/webauthn/

時至今日，我們已經(jīng)抵達了一個重要的里程碑，但探索不止，步履不停。Google 一如既往致力于打造一個用戶可以自行選擇密碼和密碼存儲位置的新世界。歡迎您繼續(xù)關注我們明年即將發(fā)布的更多新內容。我們將為 Android 引入一些變更，使第三方憑據(jù)管理器能夠支持其用戶的密鑰。也歡迎您持續(xù)關注我們的官方微信公眾號，及時了解更多開發(fā)技術和產(chǎn)品更新等資訊動態(tài)。