你是否经常为了记住各种密码而烦恼？是否担心你的密码被黑客窃取或泄露？是否觉得每次登录账号都要输入密码和二次验证太麻烦？为了解决上

你是否经常为了记住各种密码而烦恼？是否担心你的密码被黑客窃取或泄露？是否觉得每次登录账号都要输入密码和二次验证太麻烦？为了解决上述困扰，谷歌推出了一项新功能，叫做 Passkey，可以用更简单、更安全的方式登录谷歌账号，而无需使用密码。 Passkey 是一种基于密码学的身份验证技术，它可以用你的设备（手机、平板、笔记本、台式机等）上已有的密码（PIN 码、指纹、面部识别等）来代替你的谷歌账号密码。这样，当你登录谷歌账号时，你只需要解锁你的设备，就可以直接进入你的账号，无需再输入密码或进行二次验证。这不仅节省了时间，也提高了安全性。 要使用 Passkey，你需要为每个设备创建一个谷歌账号 Passkey。在后台，设备会存储一个私钥，而谷歌会上传一个对应的公钥。当你登录时，谷歌会要求你的设备用私钥签名一个唯一的挑战码，你的设备只有在你解锁后才会这样做。然后谷歌会用公钥验证签名。如果你用一个新设备（或临时使用）登录，你可以用手机上的 Passkey 扫描一个二维码，并通过蓝牙检查距离。在新设备上，你只需要选择“使用其他设备上的 Passkey”并按照提示操作。这并不会自动将 Passkey 转移到新设备上，只是用你手机上的屏幕锁和距离来批准一次性登录。如果新设备支持存储自己的 Passkey，谷歌会另外询问是否要在新设备上创建一个。 标签: #Google #Passkey 频道: @GodlyNews1 投稿: @Godlynewsbot

是时候重新考虑身份和身份认证了

是时候重新考虑身份和身份认证了 传统的身份和认证系统不具备处理现代需求的能力。零信任的安全性、合规性、隐私性和访问的便利性都需要一种新的方法：无摩擦、基于身份的认证。 身份是当今最值钱的数字货币。一旦得到验证，它就能让你获得几乎所有的东西。历史上，身份是由出生证明、政府颁发的身份证和密码来验证的，最近则是由移动设备和生物识别技术来验证。 在网络犯罪分子的不断攻击下，我们看到如何定义身份和确保适当的认证的转变。传统的安全方法假定登录的人就是他们所说的人，但现代安全标准（如NIST 800-63-3和FIDO2）必须关注身份证明，并摆脱传统的密码。 这种安全方面的转变也必须包括用户的需求。由于需要记住多个账户和密码，安全问题是一个繁琐的过程，它仍然使用户面临很大的凭证泄露的风险。 以下是当今可能需要以不同方式思考身份和认证问题的四种方式。 1、身份和认证应合并在一起 通常情况下，安全问题集中在身份证明或无密码解决方案上。在实施两个可能不兼容但又必要的系统时，这种分离会给组织和客户带来摩擦。 保持身份信息和认证方式的分离有两个主要问题，特别是在处理员工和客户的时候。首先，对你的用户来说，认证永远不会是 “无摩擦” 的。他们将与多个密码和用户名打交道，这是一个漏洞。其次，如果你的员工因为个人原因以客户身份使用你的平台（想想看：银行员工也在你这里有账户吧），而你无法证明这是同一个人，只能证明这个人有正确的客户凭证。 我们现在不再需要用户名和密码来认证个人。生物识别技术、移动设备和多因素认证是强有力的工具。在开始时将这些方法与明确的身份证明结合起来，可以减少用户的摩擦，提高整体安全性。 2、用户必须能控制自己的身份 每当个人泄露了身份信息，他们就会面临风险。因此，用户希望对谁、什么、何时提供这些信息有更多的控制。今天，有几种方法可以将认证权交还给用户： 智能手机验证生物识别数据 提供一次性密码（OTP）的应用程序和设备 在计算机和移动设备中使用可信平台模块（TPM）芯片来存储加密密钥和其他数据 使用区块链来存储可识别信息 需要用户同意才能提供验证详细信息 鉴于这些选择，用户对身份和认证的控制必须是一项要求。 3、认证应与风险相对应 尽管上面列出的技术很有前途，但大多数企业并没有利用它们。相反，他们继续投资于陈旧的认证形式，与日益复杂的风险不相适应。虽然双因素认证有帮助，但这并不是一个一刀切的解决方案。每个用户都有不同程度的风险，他们的认证也必须相应地匹配。 认证应该支持多种方法，但它可以包括企业账户验证、电子邮件地址访问和生物识别技术 除了前面提到的SMS和OTP之外。 企业不需要实施所有可用的因素，但应根据其组织和用户的风险，针对性确定其用途。考虑到用户希望控制自己的身份，以保持积极的体验，同样重要的是要意识到需要潜在地允许他们自己决定何时采用较新的认证方法。 4、可管理的实施 过渡到新的解决方案是一个微妙的过程。在没有确定你的企业的复杂需求或没有让你的员工和客户做好准备的情况下，过快地行动是很可能失败的。首先专注于如何最好地整合身份和认证，然后从那里开始建立。 身份的概念已经存在了几十年，然而认证却没有赶上其先进的威胁 直到现在。现在是时候了，不要再寄希望于传统的系统，而要接受新的认证和存储信息的手段。这将创造更好的认证效率、用户体验和组织安全性。