國內(nèi)首發(fā)！OPPO身份密鑰亮相Passkeys技術(shù)論壇，與FIDO聯(lián)盟探討行業(yè)發(fā)展方向

隨著互聯(lián)網(wǎng)的普及和移動設(shè)備的廣泛應(yīng)用,人們對于身份認證安全性和便捷性的要求也越來越高,Passkeys技術(shù)應(yīng)運而生,為互聯(lián)網(wǎng)安全和數(shù)字化進程注入了新的活力。近日,由FIDO聯(lián)盟中國工作組主辦、國民認證承辦的在線沙龍活動“Passkeys技術(shù)實現(xiàn)與應(yīng)用”成功舉辦,聚焦國內(nèi)產(chǎn)業(yè)界對于Passkeys技術(shù)的實現(xiàn)與應(yīng)用進展情況,與百余名專業(yè)觀眾共同探討行業(yè)研究成果與實踐經(jīng)驗。

本次沙龍由FIDO聯(lián)盟中國工作組聯(lián)合主席柴海新主持,他指出,在數(shù)字化日益普及的今天,無論是線上購物、社交媒體登錄,還是企業(yè)內(nèi)部的權(quán)限管理,身份驗證都是保障信息安全的關(guān)鍵。

自2022年蘋果公司對外宣布新的密碼認證功能Passkeys以來,無密碼身份認證技術(shù)在行業(yè)內(nèi)就引起了廣泛的關(guān)注和討論,為當(dāng)下互聯(lián)網(wǎng)賬號體系帶來易用性、安全性和廣泛性等多維度的巨大變革。國際上,微軟、谷歌等巨頭也都在加速推進。

作為國內(nèi)Android生態(tài)首家支持Passkeys技術(shù)的設(shè)備廠商,OPPO在ColorOS 14的發(fā)布會上就正式發(fā)布了自主研發(fā)的以生物特征認證為基礎(chǔ)、可跨多終端使用的身份密鑰技術(shù)。早在FIDO聯(lián)盟提出安全密鑰的概念時,OPPO就已經(jīng)非常有前瞻性的對這項技術(shù)開始了深入研究。得益于多年在數(shù)字身份密鑰行業(yè)的技術(shù)沉淀,OPPO才能在國內(nèi)率先推出以生物特征認證為基礎(chǔ)、可跨多終端使用的身份密鑰技術(shù),打通行業(yè)生態(tài)壁壘。

OPPO高級研發(fā)工程師李陽本次也應(yīng)邀分享了OPPO在Passkeys方面的實踐經(jīng)驗。以下內(nèi)容整理自演講議題《OPPO身份密鑰-FIDO2實踐分享》,主要內(nèi)容如下:

● OPPO身份密鑰推出的背景

● OPPO身份密鑰的使用場景

● OPPO身份密鑰的技術(shù)方案

● OPPO身份密鑰的行業(yè)展望

● 如何接入OPPO身份密鑰

01

OPPO推出身份密鑰的背景

我們最熟悉的的身份驗證方式無疑是使用賬戶密碼進行登錄,但是密碼在易用性和安全性上一直存在諸多問題。

首先是安全性上的問題。當(dāng)前針對密碼已經(jīng)形成了多種形式和規(guī)模的攻擊,并已逐漸演變?yōu)榭梢砸?guī)避多因素驗證的方式,導(dǎo)致身份盜用風(fēng)險持續(xù)增長。最常見的攻擊包括網(wǎng)絡(luò)釣魚、暴力破解、憑據(jù)替換、惡意軟件和中間人。

為了提高安全性,開發(fā)者通常建議用戶設(shè)置復(fù)雜的密碼且在不同應(yīng)用使用不同的密碼,并且會啟用多因素驗證來加強身份驗證的安全性,但這就導(dǎo)致了易用性方面的問題,如:

● 密碼管理復(fù)雜,容易忘記密碼;

● 增加登錄時間,降低登錄成功率;

● 某些多因素認證方式專業(yè)性高,會讓用戶困惑,不適合普通用戶。

傳統(tǒng)方式很難兼顧易用性和安全性,我們需要的是一種既安全又簡單的身份認證方式。2023年3月份FIDO聯(lián)盟提出了多設(shè)備FIDO憑證的概念,通過優(yōu)化身份驗證的可訪問和可用性,在增加安全性的同時提升用戶體驗。多設(shè)備FIDO憑證重新定義身份的方式,將現(xiàn)實的身份映射進在線服務(wù)中,為用戶提供了高安全級別、簡單快速、生物特征的新解決方案。

在FIDO聯(lián)盟發(fā)布多設(shè)備憑證白皮書后,蘋果、微軟、谷歌等科技巨頭陸續(xù)宣布對此技術(shù)的支持,并相繼完成了身份認證底層的基礎(chǔ)設(shè)施建設(shè)。如Google Account于今年初接入了無密碼認證方式。根據(jù)其提供的統(tǒng)計數(shù)據(jù)顯示,無密登錄的成功率比密碼方式高4倍,使用密碼登錄的成功率僅為13.8%,而使用無密登錄的成功率為63.8%。無密登錄不僅更易于使用,而且比密碼更快,這種易用性是無密身份認證的的關(guān)鍵價值。

而OPPO也在ColorOS 14的發(fā)布會上正式宣布上線身份密鑰功能,成為國內(nèi)Android生態(tài)首家支持Passkeys技術(shù)的設(shè)備廠商。

OPPO身份密鑰目前支持的特性包括:

● 單設(shè)備密鑰(密鑰綁定到設(shè)備,不可多端同步),多設(shè)備密鑰(密鑰在設(shè)備間通過端到端加密進行云同步);

● 支持手機作為認證器的internal和hybrid傳輸方式,支持通過USB、NFC或BLE使用外置硬件安全密鑰;

● 支持可發(fā)現(xiàn)憑證的匿名方式認證,提供多賬號選擇器;

● OPPO密碼本提供了多設(shè)備密鑰的管理功能,同時提供基于端到端加密的云同步功能;

● OPPO瀏覽器提供了對 WebAuthn(Web Authentication API) JS 接口的支持,支持Web業(yè)務(wù)使用OPPO身份密鑰。

02

OPPO身份密鑰的使用場景

OPPO身份密鑰技術(shù)是基于行業(yè)標(biāo)準(zhǔn)化,通過生物識別技術(shù),提供更高安全級別的身份認證,能夠大幅度簡化用戶的登錄步驟,加速實現(xiàn)簡單、易用、安全的無密碼登錄體驗。而且,還可以實現(xiàn)跨多終端安全使用。

在分享OPPO身份密鑰的技術(shù)原理之前,我們先了解一下身份密鑰的使用場景。這里簡單展示一下OPPO身份密鑰對Passkeys的支持。

首先,使用OPPO瀏覽器訪問 github 網(wǎng)站,點擊網(wǎng)頁上的“add a passkey”按鈕,再進行一次指紋或者面部校驗即可完成Passkey的創(chuàng)建。創(chuàng)建一個密鑰的流程和完成手機屏幕解鎖的方式一模一樣,非常貼近用戶日常的使用習(xí)慣。

那么如何使用注冊后的密鑰進行登錄?我們可以用剛剛注冊的那個密鑰來登錄github網(wǎng)站。點擊“sign in with a passkey”按鈕,再進行一次指紋或者面部校驗即可完成登錄,同樣非常簡單。

OPPO身份密鑰是基于FIDO技術(shù)標(biāo)準(zhǔn)而進行研發(fā)的,可以無縫對接蘋果、Google、微軟的Passkeys,在技術(shù)上具備跨設(shè)備、跨生態(tài)特性。通過相機掃描二維碼的方式,用戶可以將手機作為漫游認證器進行密鑰的注冊和登錄。也就是說,用戶可以拿自己的手機,來掃描其他設(shè)備顯示的二維碼,來授權(quán)賬號在其他設(shè)備上登錄。顯示二維碼的手機和掃描二維碼的手機可以是同一個廠商的也可以是不同廠商的。

譬如這個場景,在iPhone上通過safari瀏覽器打開github網(wǎng)站,點擊“sign in with a passkey”,選擇二維碼方式,然后使用OPPO手機的相機掃碼,按照提示完成身份認證后,就可以在iPhone上成功登陸github網(wǎng)站。

OPPO賬號從ColorOS14開始接入身份密鑰,下面這兩張截圖展示了如何使用OPPO手機掃碼OPPO Pad,使其登錄OPPO賬號。

OPPO設(shè)備創(chuàng)建的Passkeys可以通過基于端到端加密的密碼本云同步機制,自動同步到登錄相同OPPO賬號的其他 OPPO 設(shè)備。因此用戶的密鑰隨時可用,即使更換了設(shè)備也無需重新創(chuàng)建。從這張OPPO密碼本的截圖上,可以看到Google、微軟的賬號都已經(jīng)接入了Passkeys,用戶注冊的Passkeys保存在了OPPO密碼本中,可隨時使用OPPO設(shè)備中保存的Passkeys登錄Google、微軟的賬號。

用戶使用體驗上,OPPO身份密鑰擁有三大顯著優(yōu)點。首先,使用密鑰可以減少用戶輸入,用戶不需要記憶密碼,甚至都不需要記憶賬號。其次,使用指紋或面部進行身份認證,快速便捷,增加登錄成功率。最后,密鑰通過OPPO密碼本進行多端同步,快速簡單易用。當(dāng)然,這些優(yōu)點都是建立在安全可信賴的技術(shù)保障上,用戶可放心使用。

03

OPPO身份密鑰的技術(shù)方案

接下來聊聊OPPO身份密鑰的技術(shù)原理。從下面這張技術(shù)架構(gòu)圖中,可以了解身份密鑰技術(shù)的三個重要參與方分別是認證器、客戶端和應(yīng)用服務(wù)提供方。

對于手機來說,認證器和客戶端都內(nèi)置在手機系統(tǒng)中,客戶端向應(yīng)用提供方發(fā)起注冊或登錄請求接口,應(yīng)用服務(wù)提供方返回WebAuthn報文,客戶端將此報文進行CTAP協(xié)議轉(zhuǎn)換后交給認證器,用戶進行指紋或面容認證成功后,生成認證器報文返回給應(yīng)用服務(wù)提供方,應(yīng)用服務(wù)對報文校驗成功后返回注冊或登錄成功。

簡單來說,創(chuàng)建一個身份密鑰的過程,就是生成一對非對稱的密鑰,將私鑰留在手機中加密保存,然后將公鑰交給應(yīng)用服務(wù)端保存。

而使用密鑰登錄,就是證明擁有密鑰的私鑰,證明的過程就是將服務(wù)器發(fā)過來的一段數(shù)據(jù)進行簽名,將簽名信息交回給服務(wù)端驗簽,服務(wù)端使用密鑰的公鑰驗簽通過后返回登錄態(tài),完成登錄流程。

密鑰的便捷性無庸置疑了,那么,安全性來自哪些方面呢?

OPPO設(shè)備提供端到端的加密來保障身份密鑰可以安全地在各個設(shè)備上同步。端到端加密是目前安全級別非常高的一種端云協(xié)同加密技術(shù),使用用戶自己設(shè)備的鎖屏密碼的派生密鑰對私鑰進行加密保護,這意味著只有用戶可以解密和使用私鑰,任何第三方包括OPPO都無法解密用戶的私鑰。

同時,OPPO身份密鑰的安全性還體現(xiàn)在以下方面:

● 使用公鑰代替密碼存儲在應(yīng)用服務(wù)提供方服務(wù)器,抵御了撞庫、數(shù)據(jù)泄露等被盜號的風(fēng)險;

● 通過數(shù)字資產(chǎn)證明確保密鑰只能在受信任網(wǎng)站和應(yīng)用創(chuàng)建和使用,抵御釣魚攻擊;

● 密鑰在設(shè)備的可信執(zhí)行環(huán)境中生成,使用受硬件保護的加密密鑰進行加密后存儲在安全文件系統(tǒng)中,保證私鑰不被竊取;

● OPPO密碼本為密鑰提供了基于端到端加密的多端云同步功能,避免了內(nèi)部惡意攻擊。

04

OPPO身份密鑰的未來展望

無密碼、更安全的新一代快速身份認證趨勢已經(jīng)勢不可擋。展望未來,從易用性和安全性來說,無密碼登錄是整個行業(yè)的大趨勢,在各行各業(yè)都有廣闊的應(yīng)用場景,譬如:

● 數(shù)字安全與身份驗證,確保敏感數(shù)據(jù)的安全性;

● 支付和交易等金融領(lǐng)域,確保資產(chǎn)的安全性;

● 智能家居、IoT、車載控制系統(tǒng),進行身份識別,防盜;

● 政府的公共服務(wù)領(lǐng)域,電子投票、電子身份證明等場景;

● 教育領(lǐng)域,學(xué)生身份驗證和在線考試安全性等場景。

而以生物特征認證為基礎(chǔ)、可跨多終端使用的OPPO身份密鑰技術(shù),一方面通過強大的加密技術(shù)使賬號具備更高安全級別,保障用戶信息和資產(chǎn)安全,另一方面兼容快速身份認證行業(yè)標(biāo)準(zhǔn),無縫對接蘋果、Google、微軟等的Passkeys,助力生態(tài)安全,挖掘未來賬號體系的更多可能性。

隨著越來越多的設(shè)備對無密身份認證的支持,更多的應(yīng)用開始接入無密身份認證,其前景將更加光明。

05

如何接入OPPO身份密鑰

OPPO身份密鑰體系自ColorOS14開始支持無密碼身份認證方式。

對于開發(fā)者來說,通過訪問OPPO開放平臺,即可了解接入OPPO身份密鑰的相關(guān)介紹、文檔、Demo等詳細內(nèi)容。

易用性與安全性的融合,一直以來都是OPPO關(guān)注的重點之一。技術(shù)的發(fā)展一日千里,更便捷、更安全的數(shù)字生活時代已經(jīng)慢慢展開。