客观日本

“通行密钥”应用扩大,无需密码也能消灭假冒网站

2023年01月13日 信息通信

“通行密钥(Passkeys)”作为使用网络服务时无需密码的认证技术而备受瞩目。自2022年3月概念被提出以后,不仅苹果、谷歌等美国IT(信息技术)大型公司,日本雅虎、KDDI也都相继表示采用此技术。预计该技术将提高认证的安全性和便利性,并有望帮助消灭“网络钓鱼诈骗”。

title

通行密钥登录画面示例。通过指纹认证信息可以不用输入ID和密码

推进通行密钥普及的国际标准化团体“FIDO联盟”于2022年12月上旬在东京都内举行了研讨会。演讲者看好今后使用通行密钥的企业会进一步增加。

通行密钥,是在无需密码就能登录的“FIDO认证”基础上改善了便利性的技术。在智能手机或电脑上录入认证资格信息后,便可于多个终端共享资格信息,在支持通行密钥的网络服务中无需密码即可登录。

认证信息不会在网络上流通,因此安全性高,也不需要以往的多重认证。因为是与网络服务相关联的认证方法,因此也能有效地打击引导至假冒网站输入ID和密码,盗取信息和金钱的钓鱼诈骗行为。

苹果、谷歌、美国微软已经公布,智能手机、电脑的基本软件(OS)和网络浏览器将支持通行密钥。在日本,雅虎和KDDI宣布采用此技术,NTT DoCoMo也将从2023年2月开始在“d账户”上使用通行密钥。FIDO联盟的执行总监兼首席营销官Andrew Shikiar指出:“我们预计这一趋势在2023年以后也仍会持续。”

以往普遍使用的密码认证方法,需要用户记住或输入多个密码,非常麻烦。用户会倾向于在多处使用相同的密码,这样反而增加了密码泄漏引起的不正当使用的危险性。

title

FIDO联盟在东京都内举办研讨会

为此,FIDO联盟开始普及无需密码的FIDO认证。使用FIDO认证,用户只需在所持智能手机及电脑上录入认证资格信息,作为认证工具(认证器)使用,便可通过指纹、脸部等生物信息和被称为PIN(个人识别码)的密码进行登录。

认证器会通过公钥基础设施,制作一对密钥和公钥。当用户在每个网络服务中注册公钥时,网络服务就会用公钥验证,登录时用户认证器中是否保存了成对的密钥。如果验证成功的话,就能通过用户认证。

密钥和生物信息被保存在认证器中,不会外泄。并且,以密钥制作公钥容易,但以公钥制作密钥在技术上很难。即使公钥泄露也无法以此制作密钥,所以很难被他人冒充。用户可以省去设定、输入密码的麻烦,网络服务方也可以减少严格管理密码的负担及对“忘记密码”咨询的应对。

另一方面,FIDO认证在用户更换或丢失智能手机、电脑时,需要重新注册认证资格,因为认证资格和终端是一对一连接的。

因此,通行密钥会将FIDO认证资格加密,通过备份到OS和云服务,让OS相同的终端之间可以同步认证资格。即使在OS不同的终端之间,只要通过QR码或近距离无线通信“蓝牙”同步云上的认证资格,就可以在支持通行密钥的网络服务中无密码登录。

在金融机关的账户开设等需要严格认证的情况下,也可以追加连接终端的其他认证手段。今后,如果网络服务方对通行密钥的应用进一步扩大的话,“无需密码”将成为理所当然的基础设施服务。

日文:大豆生田崇志、《日经产业新闻》、2022/12/21
中文:JST客观日本编辑部