Google表示，密钥的推出标志着密码“终结的开始”。

2023年10月10日，也就是昨日，Google宣布了一项更新：即日起，密钥登录“PassKey”将取代密码登录“PassWord”，被设置为个人账户登录的默认选项。

（图源：Google）

用户可以使用Google帐户中的“Skip password when possible”（尽可能跳过密码）提示来注册密钥。

Google表示，系统将提示Google帐户持有者创建密钥并将其用作默认登录方式。同时，计划在未来几个月内推广密钥，并开始敦促帐户持有者将其传统的用户名和密码登录转换为密钥登录。

当然，Google将继续支持传统密码登录方式，Google强调，密码“在我们做出转变时仍然是我们生活的一部分”。因此，用户仍然可以选择使用传统密码登录其Google帐户，并且可以通过禁用其账户的“尽可能跳过密码”选项来完全选择不使用密钥。

毫无疑问，这是Google迈向“无密码未来”的重要一步，Google表示，密钥的推出标志着密码“终结的开始”。

01 朝着“无密码”的道路前进

这并非一时兴起之事。去年5月，Google便和苹果、微软宣布计划支持FIDO无密码登录。这一新功能允许网站和APP提供跨设备和平台的一致的、安全的、容易的无密码登录，也就是密钥登录。

据悉，FIDO（Fast Identity Online）联盟是一个跨行业的组织，旨在推动一个全球性的开放标准，以提高用户身份验证的安全性和便利性。

FIDO联盟的目标是减少依赖传统密码的风险，提供更强大的用户身份验证解决方案。为此，该联盟制定了一套开放标准和技术规范，支持新一代的身份验证方法，包括生物识别（如指纹、面部识别）和硬件安全密钥等。

借助FIDO联盟所推动的标准，用户可以使用更安全、便捷的身份验证方法来登录各种在线服务，而无需记忆复杂的密码。通过使用这些开放标准，FIDO联盟成员和第三方可以轻松集成FIDO认证技术，从而提供更好的身份验证体验，并降低数据泄露和盗取身份的风险。

随后，在去年10月，Google宣布为旗下Android系统和Chrome浏览器启动初步的Passkey通行密钥测试。直到今年5月，Google正式推出密钥登录，宣布已开始在所有主要平台上推出对Google帐户密钥的支持。Google表示，密钥登录“将成为人们账户登录的额外选项”，是登录应用程序和网站的最简单、最安全的方式。

对此，FIDO联盟执行董事Andrew Shikiar表示：“这非常重要，这是一个拐点，像Google这样的公司让很多人真正看到了密钥登录，他们将更有可能在其他地方使用它。此外，这一举措将加速其他公司的部署计划并帮助他们更好地部署。”

在前不久，微软也宣布Windows 11更新将通过Windows Hello和更广泛地支持Passkey功能。（详情请查看《本周，微软开始拥抱Windows 11无密码的未来》文章）

今日，密钥登录由“额外”走向了“默认”，我们看到，Google距离“无密码”的未来又进了一步。

想尝试一下Google的密钥登录，可复制下方链接：https://www.google.com/account/about/passkeys/

什么是密钥登录？

Google表示，密钥是一种在计算机和智能手机上的新功能——FIDO凭证，密钥登录让用户能够像解锁设备一样便捷地登录应用和网站，可以使用生物特征（如指纹、面部扫描）或屏幕锁定的PIN码等身份验证方式。

（图源：Google）

使用密钥登录可以提供更好的用户体验和更高的安全性，无需依赖容易猜测的密码，例如简单的“password123”、宠物名字或个人生日号码。

值得一提的是，人们可以拥有多个密钥，甚至可以在与家人共享的设备上拥有密钥。但由于加密技术的作用，不管人们拥有多少密钥，无论它们存储在哪里，它们都只对用户有用。

“它们比密码登录快40%，并且依赖于一种使其更安全的加密技术。”Google强调，与密码不同，密钥可以抵御网络钓鱼等在线攻击，这使得它们比短信验证码等更安全。

据了解，密钥使用一种特定类型的加密技术，即公钥加密技术，以减少数据泄露的风险。例如，在用户在Google上创建密钥时，会生成两个密钥：公钥和私钥。公钥存储在网站上，而私钥保留在用户的设备上。

这意味着，如果发生数据泄露，攻击者只能获得存储在网站上的公钥。而没有存储在设备上的私钥，这些公钥就是无用的。私钥起到解密和身份验证的作用，而且只有用户自己才能访问设备上的私钥。这种方式确保了密钥的安全，即使公钥被泄露，也不会导致用户信息的泄露。

Google身份和安全产品经理兼FIDO2技术工作组联合主席Christiaan Brand在Google官网的一篇博客中表示，公钥加密技术诞生于上世纪70年代，互联网就是建立在这一技术基础上的。在上世纪90年代，Netscape开发了基于公钥的加密技术，称为安全套接层（Secure Sockets Layer，SSL），用于认证网站和确保用户隐私。

（关于密钥是什么，在《探索PKI——什么是加密密钥？》一文中，有作详细介绍）

不仅Google，不缺同行者

Google表示，最近，Uber和eBay启用了密钥登录，并且WhatsApp也将推出此功能。

“密钥验证将使登录WhatsApp变得更容易、更安全。我们很高兴能在WhatsApp上推出此功能，并为用户提供额外的安全保障。”WhatsApp产品主管Alice Newton-Rex表示。

到目前为止，PayPal、Shopify、CVS Health、Kayak和Hyatt等公司已经采取了这一举措。

哪些网站支持密钥？复制下方链接可找到答案：https://www.passkeys.io/who-supports-passkeys

“我们有机会改变用户登录的方式，”Christiaan Brand说道。“如果我们能够改变Google帐户的登录方式，我们希望消费者能够开始更加习惯这项技术，同时也向行业发出信号，表明我们并非只是在‘高谈阔论’这些东西，它已经时刻准备好被采用，为行业带来全新变革。”

显而易见，越来越多的科技企业正在加入这一队伍，努力创造一个人们不需要密码即可安全登录帐户的未来。