你所在的位置: 首页 > 正文

托谷歌的福,Android用户未来不用再记密码了

2019-09-01 点击:1553

  两年前,谷歌推出了划时代的Android O,也正式开始了整治Android生态碎片化的进程,而在两年后的今天,对于绝大多数的Android用户来说,也应该都已经感受到这一系统已经与“卡顿”说了再见。不过Android O除了让手机变得更为流畅之外,事实上还有着更多隐藏的新功能。

  0?fmt=jpg&size=15&h=422&w=600&ppv=1

  近日,谷歌方面就宣布Pixle手机用户将可以使用指纹或屏幕锁,而不是密码来验证其在网络上的某些Google服务身份。并且据称在“over the next few days(未来几天)”?内,这项功能还将推广到所有运行Android N以及更高版本的设备中。

  其实谷歌提供的这项新功能看上去非常的简单,就是允许用户使用例如指纹这样的凭证,登录到Chrome浏览器中的Google Web服务,并且在使用过程中不需要进行回忆密码——呼出键盘输入密码——登录的操作,而是直接在登录界面使用指纹或屏幕锁即可。

  0?fmt=jpg&size=15&h=600&w=304&ppv=1

  看起来是不是很神奇?但这其实就是在Android O上谷歌Smart Lock(密码专用)填充服务的升级版。用户可以在“设置—系统—语言和输入法—输入帮助”打开Smart Lock功能,在第一次使用密码登录之后,此后就可以直接使用例如指纹等凭证进行快速登录。

  伴随着互联网行业的空前繁荣,各式各样的网站或APP都有着各自独立的账号体系,而用户也需要注册并登录后才能享受到更加完整的服务。而开发者为了安全方面的考量,会要求用户设置相当复杂的密码,这也就导致记忆密码成为了一个亟待解决的痛点。

  事实上谷歌这一举措与开创性并没有太大的关联,甚至只能说是?谕鲅虿估巍R蛭诖酥埃还膇OS已经推出了钥匙串功能,用户可以使密码或其他安全信息在所有的设备上保持最新状态,并能够在任何设备上自动填充信息,如Safari浏览器中的用户名和密码、信用卡号、Wi-Fi 密码,以及社交媒体登录信息等等。

  0?fmt=jpg&size=17&h=503&w=600&ppv=1

  除了Android的直接竞争对手iOS之外,部分手机厂商事实上也早就在自家的定制系统中增加类似功能。不过在此之前除了苹果的iOS能够凭借封闭性具备一定的安全性之外,Android手机上提供自动填充的功能都有着一定的安全与隐私风险。

  0?fmt=jpg&size=13&h=264&w=600&ppv=1

  自动填充功能本质上就是将用户的账号密码存储在本地,其工作原理则是HTML5标准中加入了对于autocomplete属性的支持,通过更多的标识值告诉浏览器应将哪些记录值对应到哪些表单。但问题是浏览器本身就会存在各种漏洞,因此此前就有Github用户通过脚本展示了利用自动填充窃取用户信息的漏洞。

  而如今谷歌率先在自家Pixel系列机型中所使用的这一功能,则是早在今年2月就已宣布,与FIDO联盟的合作结晶,其所使用的是FIDO2标准中的WebAuthn协议。并且谷歌方面表示,这项功能需要的相关信息从未发送到服务器,并会安全地存储在用户的手机上。

  0?fmt=jpg&size=39&h=440&w=600&ppv=1

  而传统的自动填充功能,所依赖的是用户与服务器两端的凭证匹配来完成,但在如今这个数据泄露频发的时代,服务器端已经不再可靠。而FIDO2的特色就是基于公私钥对的非对称加密体系,只在本地的可信执行环境(TEE)中存储用户的相关信息,用户证书和生物识别特征(指纹)永远不会离开本地设备,也不会存储在服务器上,使得其免受网络钓鱼或者中间方的攻击。

  0?fmt=jpg&size=31&h=381&w=600&ppv=1

  值得一提的是,目前尽管谷歌表示这种快捷登录方式仅限于某些谷歌服务,但事实上FIDO2的WebAuthn API是一种可融入浏览器与相关Web平台基础架构的标准Web API,因此也意味着其他开发者同样可以通过借助WebAuthn API来提供这一服务。因此对于无法使用谷歌服务的国内用户来说,这一便利功能想要用上,或许也并不需要等待太久。

  【本文图片来自网络】

达到当天最大量

攀枝花新闻门户 版权所有© www.dgnuodiwujin.cn 技术支持:攀枝花新闻门户 | 网站地图