原文链接:https://www.nervos.org/blog/nervos-supports-apple-passkey-feature-speeding-up-the-passwordless-era
翻译校对:dina.bit
Apple 在今年的全球开发者大会 (WWDC) 上宣布,将于 9 月在 Mac、iPhone、iPad 和 Apple TV 上推出无密码登录。用户将使用 passkey登录 iOS 16 和 MacOS Ventura 上的网站和应用程序,不需再使用密码。
“要制作 Passkey,只需使用 Touch ID 或 Face ID 进行身份验证,就可以完成,而且 Passkey 不能被网络钓鱼。”Apple 互联网技术副总裁 Darin Adler 在主题演讲中说道。当用户再次登录网站时,Passkey 允许用户通过生物特征即可验证身份,而不是输入密码。
生活在互联网时代,我们都习惯了“账号+密码”的登录形式。随着互联网应用和服务越来越普遍,我们自然而然地创建了越来越多的账户和密码。
虽然市面上有像 1Password 这样优秀的密码管理软件,但只有一小部分人使用,而且大多数人仍然习惯于记住自己的密码。根据 Yubico 2019 年的一项调查显示,用户每年花费 10.9 小时输入或重置密码,这令开发公司平均每年多花费 520 万美元。 另外有些人非常粗心,他们不仅使用过于简单的密码,还在许多互联网服务中使用相同的密码。
最常见的 200 个密码
来源:https://nordpass.com/most-common-passwords-list/
过于简单的密码会让黑客有机可乘;而在许多互联网服务中使用同一个密码,一旦用户登录一个被黑客攻击过的服务,他们的密码就在许多应用程序中被破解。
此外,即使是工业巨头也容易受到大规模数据泄露的影响。这里有几个例子:2013 年,Adobe 表示,黑客窃取了近 300 万条加密的客户信用卡记录,以及数量不详的 Adobe 用户账户的登录数据。
2014 年,eBay 遭遇重大数据泄露,泄露了大约 1.45 亿用户的个人信息,包括用户名、电子邮件地址、家庭住址、电话号码和生日。2014 年,雅虎遭到攻击,5 亿条用户的用户信息被盗,包括姓名、电子邮件地址、电话号码、出生日期、加密密码,在某些情况下还包括安全问题。2016 年,Friend Finder Networks 拥有的六个数据库遭受了大规模数据泄露,暴露了超过 4.12 亿个账户信息。2021 年,超过 5 亿 Facebook 用户的电话号码和全名等个人信息被黑客在线泄露。早在 2009 年,Validity Sensors 和 PayPal 在一次会议上讨论了使用生物识别技术代替密码来识别在线用户。这次会议萌生了公钥密码学设计行业标准的想法,实现了完全由本地认证支持的无密码登录。
2012 年 7 月,FIDO 联盟成立,开始研究无密码认证协议。2019年,FIDO 联盟和万维网联盟(W3C)宣布将 Web 认证(WebAuthn)规范作为官方 Web 标准。WebAuthn 允许服务器使用公钥加密来代替密码注册和验证用户。从用户角度来看,使用 WebAuthn 只需要以下步骤:1.输入用户名(或电子邮件地址)
2.点击“登录”3.触控ID4.完成
来源:https://www.hanko.io/blog/on-passkeys更深入地说,“WebAuthn 允许服务器与现在内置于设备中的强认证器集成,如苹果的触控ID。为网站创建的不是密码,而是私有-公共密钥对(称为凭据)。私钥安全地存储在用户的设备上;公钥和随机生成的凭证ID被发送到服务器进行存储。然后,服务器可以使用该公钥来验证用户的身份。因为没有相应的私钥,公钥不是秘密的。服务器不接收密钥对用户和组织的安全具有深远的影响。数据库对黑客不再有吸引力,因为公钥对他们没有用。”
所以 WebAuthn 完美结合了生物识别和密码学。2022年3月,FIDO 联盟发布了一份白皮书,详细介绍了一个名为“多设备 FIDO 凭据”的新概念,或简称为“Passkey”,这意味着用户的安全登录信息将在多个设备上可用。因此,密钥也可以称为“同步的 WebAuthn 凭证”。用户的设备将负责 Passkey 同步。一旦这项技术在今年晚些时候发布,用户将能够在所有使用相同 iCloud 账户的设备上使用 Passkey。它可以作为一个现代的云同步密码管理器(例如 iCloud Keychain 或 1Password),只是没有密码。如果用户丢失了设备,只需启动一个新设备,然后就可以重新使用了。Passkey 允许用户直接登录触控 ID 或 Face ID 的服务。 简而言之,Passkey 是密码的替代品。它们登录更快,更容易使用,也更安全。
Nervos CKB 支持 Apple Passkey 功能考虑到安全性和便利性,互联网迅速发展到目前规模的原因之一是密码原语的广泛使用。比如 SubtleCrypto 这个几乎存在于所有浏览器中的算法,甚至可以用在小程序中;WebAuthn 于 2019 年成为官方网络标准,使浏览器的加密功能与硬件钱包一样强大的同时,仍保持用户友好的体验(因为用户可以使用 Touch ID、Face ID 等解锁)。
如果区块链可以直接利用互联网的密码基础设施,而不是要求用户下载钱包插件或应用程序,然后通过存储助记词的过程,则可以大大降低 dApp 的用户门槛。
这些区块链的签名算法与支持互联网的基础设施中使用的加密方法不兼容,因此需要新的基础设施。Nervos CKB 的突出之处在于 CKB-VM 是抽象的,不包含任何预编译的合约来实现低级功能。甚至像散列函数 Blake2b 和签名验证算法 Secp256k1 这样的默认密码原语也只是在虚拟机中运行的智能合约。换言之,开发者可以自行选择智能合约中的加密原语,甚至可以直接使用现有的互联网基础设施,包括即将推出的 Passkey。因此,我们可以自豪地说,Nervos CKB 可能是目前唯一支持 Passkey 功能的公链。
假设我们是未来几个月,苹果的设备完全支持 Passkey。那么,Passkey 会给 Nervos 网络带来什么?
答案很可能是新用户的进入门槛更低,用户体验更友好,吸引更多用户。Passkey 是一个基础设施,需要开发人员的参与实现其全部潜力。我们将以加密货币钱包为例,展示这一基础设施如何降低用户准入门槛,改善用户体验,并吸引更多互联网用户加入 Nervos 生态系统。目前,非托管加密货币钱包仍然与助记词、公钥和私钥有着千丝万缕的联系。因此,对于习惯于用触控 ID 或 Face ID 登录的互联网用户来说,自己保存12个或24个单词的助记词、验证助记词的顺序是否正确是相当麻烦的,并且出于安全考虑,用户也不能截图或复制助记词并在线发送。此外,由于存储不当,助记词可能被泄露,导致加密资产被盗。另一种经常发生的情况是丢失助记词,这意味着钱包无法恢复,钱包中的加密资产无法再提取。在 Passkey 的支持下,私钥(和助记词)可以被安全地隐藏起来,永远不会向用户泄露。因此,用户将能够在安装钱包应用程序后,使用触控 ID 或 Face ID 创建一个 Nervos CKB 钱包。他们只需在创建交易或与智能合约交互时获得触控 ID 或 Face ID 的授权,这非常方便和安全。如果用户丢失了智能手机或更换了新的智能手机,他们可以在新设备上登录同一个 iCloud 账户,下载钱包应用程序,然后使用触控 ID 或 Face ID 恢复钱包。即使它为黑客所有,丢失的设备也无法被破解,私钥也永远无法导出。这样的加密货币钱包门槛更低,用户体验更好,因为所有操作都是互联网用户熟悉的。钱包是用户进入区块链世界的门户。有了这样一个方便安全的钱包,加密货币、DeFi、GameFi、NFT 等新事物对于数十亿互联网用户来说就容易得多了。当然,Passkey 给 Nervos Network 和区块链带来的可能性并不仅限于此。如果你是一个热衷于将区块链带给每一个互联网用户的开发者,我们欢迎你加入 Build Club 计划并创造更多的可能性!官网:https://www.nervos.org/CKB浏览器:https://explorer.nervos.org/Nervos 公众号:搜索 字节元CKB / CKBFansDiscord:https://discord.gg/X2VGqQX6zT电报群:https://t.me/NervosNetworkcn字节元宇宙推特:https://twitter.com/CKBMetagithub:https://github.com/nervosnetwork/技术论坛:https://talk.nervos.org中文技术文档:https://docs.ckb.dev