本周,苹果公司在全球开发者大会(WWDC)上展示了一项即将上线的新功能,解决了“密钥(passkey)”目前比较大的短板之一。作为一种面向网站和应用程序身份验证的行业标准,密钥可以避免传统密码所面临的钓鱼攻击和凭证泄露等风险。
苹果演示的“密钥导入/导出”功能将出现在下一代的 iOS、macOS、iPadOS 和 visionOS 系统中。这项功能旨在打破密钥在系统或凭证管理器之间难以迁移的限制。例如,在 Mac 上生成的密钥虽然可以同步到同一 iCloud 账号下的苹果设备,但想要将其转移到 Windows 设备,或哪怕是转移到同一台设备上的第三方凭证管理器,目前都无法实现。
成长的阵痛
由于这种封闭性,外界批评密钥技术是大型科技公司试图锁定用户在其生态系统内的一种手段。用户也有合理担忧:一旦设备丢失或损坏,无法转移密钥就可能导致账户无法访问。
作为推动该认证标准的“FIDO 联盟”(由逾 100 家平台提供商、应用开发者和网站组成)早已意识到这一问题,并正在开发新的 API,提升密钥的跨平台可用性。根据 Android Authority 对谷歌密码管理器的拆解,谷歌正在积极开发相关的导入/导出工具,尽管目前尚未公布上线时间。今年早些时候,谷歌为其密码管理器加入了向 iOS 应用导出密码的功能,但过程繁琐。FIDO 的比较新报告也指出,Dashlane、1Password、Bitwarden、Devolutions、NordPass、Okta 等公司都已参与这一标准制定。
苹果的演示视频中提到:“人们拥有自己的凭证,就应该能够自由选择如何管理和在哪里管理它们。”这项密钥迁移功能同样支持密码和验证码的同步,将为应用程序和操作系统提供一种标准化、更加安全的方式来处理凭证同步问题。
