传递密钥的新时代

关键要点

• 传递密钥（passkeys）正在成为传统密码的替代方案，得到了像苹果、微软和谷歌等大公司的支持。
• FIDO Alliance发布了新的用户体验指南，旨在改善传递密钥的注册和使用过程。
• 强调传递密钥的安全性和便利性，鼓励企业采用这种技术。
• FIDO Alliance计划发布多篇论文，阐述不同企业如何使用传递密钥。

传递密钥在经过科技巨头的支持后，如苹果、微软及最近的谷歌，正在迈向成为传统密码的普遍替代品。在2023年Identiverse大会上，非营利标准组织FIDOAlliance发布了新的用户体验指南，这些指南专为传递密钥而设计。传递密钥在用户通过生物识别数据或PIN注册网络应用或服务后生成并安全存储在用户设备上。

用户使用传递密钥的优势显而易见：不需要记住任何凭据，也不容易因网络钓鱼而丢失。此外，传递密钥可以在多个用户设备之间同步，而不需要重复注册。

虽然密码的消亡并非迫在眉睫，但这一最新公告确实代表了希望寻找更安全方式促进用户访问的组织的进展。

FIDO Alliance的执行董事兼CMO AndrewShikiar详细介绍了新的用户体验指南，以及组织在过去一年中为解决传递密钥相关的一些合理担忧所采取的其他措施，这些担忧在去年的Identiverse大会上被表达出来。

Shikiar列出了过去一年中持怀疑态度的专家提出的三个关键问题： – 让用户在数十年的密码使用后改变他们的行为； –
在企业环境中通过云服务同步私钥的风险； – 担心上述科技巨头可能主导这个领域并决定其他组织如何进行授权。

“这些都是我们作为一个联盟必须探讨的好问题，”Shikiar表示。“很高兴今天能够分享我们在各方面都取得了一些进展，提供了对这些尖锐问题的一些答案。”

关于用户对改变根深蒂固的密码习惯的犹豫，FIDO Alliance认为传递密钥创建和注册的用户体验指南能够通过确保良好的体验来打破这种抵制。

Shikiar补充说：“我们有最优秀的身份验证工程师，他们为我们的规范与用户体验进行了数小时的努力。我们有…在设计、用户界面和可及性方面的专家，所有人在FIDO
Alliance的用户体验工作组内协作，共同推动这个项目。”他还提到，超过30家公司和数十名贡献者为这一努力做出了贡献。

在形成这些指南过程中进行的研究获得了一些重要的观察结果。

Shikiar解释：“我们发现的一个较大‘啊哈’是，传递密钥的用户体验与我们预期中的注册过程完全不同。这与WebAuthn注册的用户体验是不同的。这是我们得出的重大发现，每个早期采用者几乎都遇到了同样的问题。事实上，我们与两到三家公司谈过，他们已经部署了传递密钥，在看到我们的用户体验指南后反馈说：‘哇，这可能让我节省了大约两个月的开发时间和无数的成本。’”

新的用户体验指南中包含的一些建议包括：通过与人们熟悉的安全体验关联，帮助用户理解传递密钥的概念；在账户设置中将传递密钥作为主要选项；围绕公司的独特安全和业务需求设计用户体验。

Shikiar意识到围绕私钥同步的忧虑，但他表示：“我们这样做是有目的的，旨在提高可用性并促进消费者的大规模采用。”

“话虽如此，我们也希望传递密钥在企业中能够发挥作用，”Shikiar继续说道。他指出，如果我们希望传递密钥成为必然趋势，就必须向企业提供如何利用传递密钥进行员工身份验证的指导。

传递密钥将来自于不止苹果、谷歌和微软的公司

为了实现这一目标，Shikiar宣布FIDOAlliance将在今年6月发布一系列文稿，内容由其面向企业的成员开发，探讨传递密钥的各种企业用例。此外，还将于6月29日举办一次关于该主题的虚拟峰会。

Shikiar还向听众保证，传递密钥不会成为苹果、谷