技术专家、曾为谷歌提供咨询服务的劳伦・韦恩斯坦日前发文强烈批评谷歌推广通行密钥 (Passkey) 实现无密码登录、免二次验证登录。
前文OZABC网提到经过几个月的测试后,谷歌正在向所有用户推广 Passkey,Passkey 的优势是方便快捷且安全性相对来说较高,因为通 Passkey 是一串加密密钥,每次生成的 Passkey 都是不同的,因此不存在使用相同密码、弱密码造成的暴力破解和撞库问题。
然而 Passkey 也是存在一些风险的,在谷歌测试 Passkey 期间,劳伦就与负责此事的谷歌员工进行多次沟通,试图阻止谷歌向所有用户推行 Passkey,不过谷歌方面并未劳伦的质疑以及继续推出了 Passkey。
劳伦担忧的问题:
劳伦担忧的问题并不是 Passkey 本身,而是使用 Passkey 中间的认证环节。
Passkey 创建后在使用时,必须验证设备密码,例如 Windows Hello 验证、iOS 和安卓的 PIN / 指纹 / 面容识别、密码管理器的 PIN 或密码认证。
也就是说 Passkey 的安全性实际上完全依赖于设备身份验证,而设备身份验证对很多人来说是非常薄弱的。
劳伦举例称,例如在酒吧里有人偷窥你输入的设备密码,然后借机偷走你的手机,这样解锁手机后就可以使用所有保存的 Passkey。
而手机密码之类的由于要经常输入,被别人偷窥到的几率相对来说比较高,因此这会成为一个安全隐患。
第二个问题是账户恢复问题:
使用 Passkey 的另一个弱点是如果丢失了 Passkey,则可能导致无法登录谷歌账号,进而丢失账户里的所有数据。这种情况是存在的,但发生概率比较低,毕竟谷歌账户可以配置主邮箱、备用邮箱、OTP 验证、密码登。
而劳伦担忧的是对于初级用户来说,他们可能一开始就直接创建 Passkey,没有设置太多的备用方式,于是重装系统或丢失手机后没有 Passkey 也无法访问账户,谷歌也无法提供额外的账户恢复办法。
这些担忧有道理吗?
这些担忧确实是有道理的,但谷歌继续推出 Passkey 也不是不行,至少以谷歌在安全措施方面的做法来看,Passkey 的这些问题谷歌其他登录方式上都存在。
例如谷歌登录时二次验证可以选择通过手机谷歌或 YouTube 进行确认,相较于 Passkey,用户登录时必须先输入密码再在手机上验证,安全性稍微好些,但在手机上执行二次验证时,解锁手机就行。
Passkey 则是只要知道 Windows 和手机的 PIN 就行,身份验证方面的安全性确实要差些。
不过谷歌可能认为这些担忧相较于 Passkey 的优势来说问题不大,毕竟谷歌用户规模达到好几亿,而使用弱密码和重复密码的用户数不胜数,这导致的账号安全问题更严重。
所以谷歌可能觉得推行 Passkey 后可以彻底解决弱密码和重复密码问题,而 Passkey 的一些验证缺陷暂时可以搁置。
如若转载,请注明出处:https://www.ozabc.com/anquan/537040.html