Google 推出對 Chrome 和 Android 的 Beta 訪問密鑰支持

大型科技公司想要消滅密碼，“訪問密鑰”是阻止密碼替換的熱門新標準。訪問密鑰受到 Google、Apple、Microsoft 和 FIDO 聯盟的支持，因此預計很快就會在各地看到它們。iOS 在版本 16 中採用了該標準，現在 Google正在推出適用於 Chrome 和 Android 的密碼測試版。

密碼爭論的焦點是密碼是舊的且弱的。計算機密碼最初被認為是一種易於記住的秘密，人們可以將其輸入到文本框中。隨著對更高安全性的需求的出現，密碼管理器的出現使得保存和恢復密碼變得更加容易。現在，使用密碼的理想方法不是使用一些朗朗上口的短語，而是讓計算機生成一些狂野的字符串，並且永遠不要在其他地方使用該密碼。然而，密碼管理器革命是建立在原始文本框之上的黑客攻擊。我們實際上不再需要文本框，這就是密碼標準的用武之地。

大型科技公司對密鑰的一個奇怪選擇是，將你的密鑰傳遞到網站的是你的手機，而不是你當前使用的任何設備上的密碼管理器。手機和客戶端之間的這種通信也不像雙因素身份驗證那樣通過互聯網完成 – 您使用的設備必須具有藍牙才能讓您的手機在本地與其進行通信。本地通信可確保互聯網上的隨機人員無法登錄您的帳戶，但它也會阻止某些桌面。

谷歌表示密碼工作今天已經達到了“重要里程碑”。如果您註冊 Play 服務測試版，您現在可以在 Android 設備上創建和使用密鑰，並且 Chrome Canary 現在支持網站密鑰。谷歌表示，Chrome 和 Android 的穩定實現將於今年晚些時候推出，但希望開發者立即開始開發。

谷歌還分享了一些有關其運作方式的細節。在 Google 的解決方案中，您的密碼存儲在 Google 密碼管理器中。手機上的彈出窗口將首先提示您選擇一個帳戶，然後使用某種生物識別技術（例如指紋解鎖）進行身份驗證。手機將通過藍牙與客戶端通信，瀏覽器將接收您的密碼並將其發送到網站。（如果客戶端是您的手機，事情就會變得容易得多。）

由於某種原因，在谷歌的例子中，整個過程都是從二維碼開始的。我猜這只是測試版的一個快速破解，但為了讓密鑰彈出窗口首先出現在您的手機上，谷歌向計算機顯示一個二維碼，然後手機掃描它。與 Google Prompt 或其他形式的 2FA 一樣，我們希望將來初始密碼彈出窗口能夠在網絡上自動打開。

除了 Android 和 Chrome 的穩定版本之外，Google 的下一個目標是原生 Android 應用程序的 API 以及可插入其中的第三方密碼管理器的 Android API。谷歌現在正在整理，但將來這應該可以跨不同的生態系統工作，因此 iPhone 可以向 Chrome 發送密鑰，Android 手機可以向 Safari 發送密鑰。