一起消灭密码:密码管理器Bitwarden宣布即将支持Passkey密钥登录各个网站
Passkey(s) 是目前密码管理器行业最热门的话题,这是由 W3C 和 FIDO 联盟共同制定的标准,目前正在快速得到科技巨头和密码管理器开发商们的支持。
Passkey 本质上是一种数字凭据,类似我们常用的各种 key 文件,Passkey 里包含复杂的密钥内容,与网站交互时只需要验证 Passkey 即可,用户不需要输入密码,不输入密码就没有被窃取的可能性,也不存在密码泄露,不会被钓鱼或者暴力破解。
有好处自然也有不好的地方,Passkey 永远不会离开生成的设备,这意味着要在不同的设备上登录,那需要每个设备都生成 Passkey 并绑定到对应的网站,当然如果密码管理器提供 Passkey 同步功能,那倒是可以减少用户的麻烦,但这样的话实际上 Passkey 离开了生成的设备,存在弱化安全性的可能。
在 1Password 宣布即将支持 Passkey 后,今天另一个知名密码管理器 Bitwarden 也宣布即将支持 Passkey。
Bitwarden 表示使用 Passkey 与我们日常创建并使用密码几乎没有区别,在创建账户时可以选择 Passkey,生成 Passkey 后 Bitwarden 会将其加密存储,下次登录时直接验证这个 Passkey 即可,不需要用户输入密码,但用户本身已经输入主密码解锁 Bitwarden,所以这是一个本地的安全保障。
Passkey 验证完成后不会被上传到网站,所以除了生成和保存 Passkey 的设备外,基本没有泄露的可能性,同时这解决了各种弱密码、重复密码、数据库泄露、暴力破解的长期安全问题。
除了支持第三方网站外,Bitwarden 还准备更进一步:Bitwarden 本体也支持使用 Passkey 验证,但同时也保留主密码,让用户可以根据自己的需要进行选择。
目前支持 Passkey 登录的网站还非常少,不过这是科技巨头们一起推动的长期安全策略,所以随着时间的推移,越来越多的网站应该都会支持 Passkey。
▼下面是 1Password Passkey 功能的演示
▼1P自动生成密钥
▼可以看到生成密钥并跨平台同步,用户无法下载、修改、解密密钥