隨著數字化時代的快速發(fā)展，無數網絡平臺正要求用戶們不斷注冊各種賬號，可說這類傳統(tǒng)密碼的登錄方式正讓我們的數字化旅程充滿荊棘。比如繁多、復雜的密碼要求，大大增加了用戶的記憶成本，反之所形成的弱密碼又極易被破解；再比如網絡釣魚攻擊，稍不留意，用戶就可能在虛假的登錄頁面上暴露自己的密碼。而密碼復用這一無奈之舉，更像一把雙刃劍，其在讓用戶減輕記憶負擔的同時，卻可能讓某個平臺的失守演變成所有相關賬號的災難。

更不要說便捷性問題了。繁瑣的登錄流程，反復的用戶名和密碼輸入，加之額外的驗證碼、安全問題驗證，都會讓每一次的登錄變得無比拖沓，包括新設備上的登錄難題或是原設備丟失后的登錄困境，都讓用戶舉步維艱。

而在這重重困境中，passkey的出現為復雜的賬號管理難題帶來了最優(yōu)解。作為一種革新性的用戶認證解決方案，passkey在安全保障、便捷性提升和賬號管理優(yōu)化等方面展現出卓越的功用。其不但具備強大的防破解能力，同時還能有效抵御釣魚攻擊，并且在便捷性方面，極大地簡化了登錄流程。

基于此，11月2日，火山引擎云安全在深圳舉辦了“賬號保護主題交流會”?，F場專家就passkey的發(fā)展歷程、passkey的功效和優(yōu)勢，以及passkey的應用場合和最佳實踐等內容展開了深入的討論。

《企業(yè)登錄保護之passkey技術實踐應用分享》

2019年某廠商被撞庫攻擊，導致1.72億用戶基本信息被泄漏。此外，Facebook程序員的失誤導致在數據庫明?儲存??密碼，影響了2億-6億用戶。包括釣魚攻擊、客戶端攻擊、上下游攻擊等，都說明了賬號管理的重要性，其不但會使公司業(yè)務受損，會對運營商、社會安全造成大量的損失。

而passkey正是由此應運而生。通常而言，任何技術都會有其相對應的“不可能三角”。比如追求安全性，就一定會在便捷性、性價比上有所欠缺。而passkey卻在此背景下，有效地平衡了三者間的關系。

首先，passkey在安全性方面具備基于硬件的強校驗功能，最高可達AAL3級別。同時，passkey也是目前已知的，唯一可抗釣?攻擊的登錄?式。在面對各種攻擊時，passkey可有效防護撞庫攻擊或密碼復用等場景。針對服務器泄漏等情況，passkey在服務器存的是?來解密的公鑰，因此即使真的數據庫被盜，?客拿到了公鑰也起不了什么作?。

其次，在便攜性方面，passkey無論是在生物認證方式（?臉、指紋、?勢），還是在開鎖方式上都能真正實現?鍵多因?登錄，登錄時間降低?少70%。其一鍵登錄的背后其實以驗證兩個因子為主，其一是基于存儲在硬件上的私鑰簽名，驗證了設備本身的持有行，其二是通過FaceID/指紋或者pin碼，驗證了生物信息或者知識信息。同時，passkey這樣的驗證方式可覆蓋當下所有主流的系統(tǒng)和設備。

最后，在性價比方面，與短信OTP對比，passkey能使用戶成本大大降低，尤其是涉及到海外場景時，短信費?可降低80%，并能減少60%處理密碼重置的??客服成本。就目前passkey剛上線不久而言，已為國內主流廠商每年節(jié)省了上千萬的費用。

可以說，當前只要是需通過“賬戶+密碼”方式進行登錄的場景，無論是B端還是C端，都可替換成Passkey。比如在企業(yè)辦公時，Passkey可和企業(yè)SSO系統(tǒng)打通，保護員?在各種辦公系統(tǒng)的登錄認證和敏感操作時觸發(fā)?次認證；再比如用戶使用APP時，Passkey可幫助應?開發(fā)者提供更安全和?便的?式，保護終端用戶在應?上的登錄認證，以及敏感操作時觸發(fā)?次認證。

從具體實例來看，各高校學生更傾向于使用Passkey，因此即使在?推?策略的情況下，使用Passkey的新用戶始終在穩(wěn)定增?。

某海外應用上，用戶對Passkey接受度更是大幅度的增長，幾個月內增長速率可達10倍以上，據相關數據呈現，從0用戶到破億，只用了八個月的時間，且目前增速依舊保持穩(wěn)定。從收益方面來看，Passkey能為用戶帶來的益處是：

1、高于任何其他登錄方式的成功率；

2、高于任何其他MFA方式的用戶轉化率；

3、大大減少了短信服務費支出。

技術層面，對現有賬戶而言，注冊Passkey的過程和傳統(tǒng)OTP方式并無差別。而對于新賬戶來說，海外許多平臺在創(chuàng)建賬號的時候就能直接創(chuàng)建Passkey，甚至連密碼都不需要，整個賬號創(chuàng)建的過程可精簡至必要的幾步，創(chuàng)建過程無比絲滑，可保證企業(yè)應用在國際上的推廣速度。

《passkey服務演示》

活動現場演示了如何在網頁端SSO平臺上注冊和使用Passkey登錄。由于Passkey是一個新的概念，因此SSO平臺將Passkey和用戶熟悉的概念——生物特征識別相關聯，方便用戶快速理解Passkey的概念。

在SSO網頁端注冊Passkey時，用戶需要在登錄態(tài)下進入身份認證器設置，選擇開啟“生物特征識別認證”，跟隨用戶指引完成本設備上Passkey的注冊。

如此，短短幾秒鐘的時間，用戶就能完成Passkey的注冊。

之后返回首頁，在身份驗證器上可看到生物特征識別認證已經開啟。點擊身份列表，用戶可在其中對各新注冊的Passkey進行管理，比如在不同設備上有著不同的Passkey，用戶可對其重命名，以達到區(qū)分的目的。整個注冊過程對用戶而言學習成本較低。

在SSO網頁端使用Passkey進行身份驗證時，瀏覽器會彈出一個對話框，提示用戶選擇一個可用的認證器。認證器可以是設備內置的認證器（如指紋、面部識別），也可以是外部的硬件認證器（如USB Security Key）。瀏覽器會根據用戶選擇的設備或認證器引導用戶進行驗證。

SSO網頁端的身份驗證過程中，提供了兩種可選擇的方式，即Passkey二步驗證和Passkey一步認證。Passkey的二步驗證替代了傳統(tǒng)使用郵箱或短信的二次驗證，用戶在輸入賬號密碼后，跟隨彈窗指引進行指紋解鎖，解鎖后，便能進入SSO。而Passkey的一步認證更為高效便捷，用戶甚至無需輸入賬號密碼，只需點擊登錄界面上的一步認證按鈕，完成彈窗指紋驗證，即可進入SSO。由于現階段是Passkey推廣的過渡階段，提供兩種方式能幫助用戶更快地適應和接受這一新功能。

Passkey認證過程的核心在于使用公私鑰對進行認證，而私鑰永遠不離開設備，確保了高度的安全性。此外，Passkey方案通過設備、生物特征和用戶賬戶的綁定，確保了即使設備丟失或被盜，也不會輕易導致賬戶安全泄露。

具體過程：當用戶點頁面按鈕進?Passkey驗證時，服務端會生成?個challenge， 即?個隨機字符串，發(fā)給認證器。接著，用戶在客?端設備上選擇??已注冊的認證器，并?注冊時相同的?法解鎖，這個解鎖過程實現了設備對?的認證。而認證器會根據用戶的賬號信息（uid等）選擇正確的私鑰，并使?該秘鑰給challenge添加數字簽名。最后，客戶端設備將經過簽名的挑戰(zhàn)發(fā)送回服務器，后臺會?該公鑰對signed challenge驗證簽名，確認是否校驗成功。這個驗證簽名的過程完成了服務端對設備的認證。

在移動端該如何使用Passkey？以飛書APP為例，首先要點擊設置，找到賬號安全中心，找到Passkey選項，和在網頁端注冊、登錄一樣，在移動端需要進行相同的操作。移動端管理Passkey時，同樣可在Passkey列表上進行重命名或刪除的操作。

分組討論總結

話題一：不同應用方對于Passkey持何態(tài)度？他們的決策又是怎樣的？

總結：Passkey作為認證產品，不同應用方需根據自己的風險偏好，以及對用戶應用性的理解，做出相應的產品決策。同樣是在Passkey產品使用的切換期，由于金融行業(yè)的監(jiān)管更嚴，所以他們需要足夠的風控手段，比如對于老舊設備在應用Passkey時所需的管控措施等。而其他行業(yè)，像那些擁有社交類應用的企業(yè)，他們可能更關注的是賬戶留存、新賬戶的增加或用戶體驗等，因此他們可以更快地接受Passkey，其關注度也會集中于新設備的安全水位。

話題二：Passkey是否真的能讓用戶舍棄密碼？其安全性和合規(guī)性該如何考量？

總結：從安全性而言，Passkey所具備的多因子認證能力一定比密碼要安全，因此許多海外用戶已經舍棄了密碼。關于合規(guī)，從現階段來看，只能具體行業(yè)具體實施，有些行業(yè)對密碼有監(jiān)管要求的，那就只能將Passkey作為輔助功能。但Passkey作為最新的認證技術趨勢，若其發(fā)展前景確實能保證用戶的安全性和便捷性，那相對應的合規(guī)要求應該也有可能改變。之所以稱其為Passkey，其最終的目標就是將密碼完全取代。

話題三：對于個人用戶而言，如果主賬號被攻破，Passkey會否加劇用戶其他應用的風險？

總結：沒有任何一種認證方式是絕對安全的，當下所有的技術手段其實都需要基于對比，因此Passkey的可應用性在于時代背景，同時在于和其他認證方式的比較。當然，設備本身的安全性也是一大考量，比如蘋果、谷歌等，它們本身的安全性也在業(yè)內前列。此外，通過火山引擎所提供的SDK，用戶可將Passkey只維持在本地，不去和云端做同步，這樣便能大大提高安全性。

針對新技術的引入會否帶來其他風險，其關鍵點在于與其他身份驗證方式的橫向比較。Passkey 作為一種密碼和傳統(tǒng)MFA替代方案，具有許多安全優(yōu)勢。它基于公鑰加密技術，私鑰永遠不離開設備，因此能夠有效防止密碼泄露、暴力破解攻擊和釣魚攻擊。即使攻擊者獲取了用戶的用戶名和密碼，也無法直接進行身份驗證，因為他們沒有私鑰。對于新技術必然需要具備相應的風控機制和應對方案，這也是接下去火山引擎會重點研究的方向。

花絮