丢了手机,就丢了生活
Passkeys 旨在取代密码。大多数公司都希望采用它们。数据显示,93% 的组织正在测试基于 WebAuthn 的 passkeys。然而,只有 13% 的组织将其规模化应用。
工程师们专注于完美的登录体验。你构建了一个只需几秒钟生物识别扫描即可完成登录的系统。这就是“理想路径”(happy path)。
但行业在“非理想路径”(unhappy path)上碰了壁。这就是设备恢复问题。
Passkeys 将安全性从共享密码转移到了硬件绑定的私钥。你的手机使用生物识别技术来解锁该密钥。传感器会计算实时扫描与已注册模板之间的数学距离。如果匹配度达到阈值,硬件就会释放密钥。
这产生了一个重大问题。如果密钥仅存在于一台设备上,那么丢失该设备就意味着丢失了你的身份。
像 Apple 和 Google 这样的公司使用云同步来提供帮助。这增加了开发者的复杂性。你必须在安全性极高的硬件密钥与易于使用的同步密钥之间做出选择。
许多开发者试图通过脆弱的电子邮件恢复机制来解决这个问题。这破坏了安全性。你造了一扇保险库大门,却留了一扇后窗。电子邮件链接的安全性远不如加密的 passkey。
在 CaraComp,我们专注于比较指标。我们认为身份验证需要专业的安全网。如果周围的架构很脆弱,再优秀的算法也会失效。
开发者的目标不是更好的面部匹配。我们已经拥有精确的面部扫描技术。目标应该是更好的恢复协议。我们需要在不回归网络钓鱼风险的情况下恢复账户的方法。
极端情况(Edge cases)定义了你在安全领域的声誉。
在你的无密码系统中,你如何处理账户恢复?你会避免使用不安全的电子邮件重置吗?
可选学习社区:https://t.me/GyaanSetuAi