国内首发！OPPO身份密钥亮相Passkeys技术论坛与FIDO联盟探讨行业发展方向

  随着互联网的普及和移动电子设备的广泛应用,人类对于身份认证安全性和便捷性的要求也慢慢变得高,Passkeys技术应运而生,为互联网安全和数字化进程注入了新的活力。近日,由FIDO联盟中国工作组主办、国民认证承办的在线沙龙活动“Passkeys技术实现与应用”成功举办,聚焦国内产业界对于Passkeys技术的实现与应用进展情况,与百余名专业观众一同探讨行业研究成果与实践经验。

  本次沙龙由FIDO联盟中国工作组联合主席柴海新主持,他指出,在数字化日益普及的今天,无论是线上购物、社会化媒体登录,还是企业内部的权限管理,身份验证都是保障信息安全的关键。

  自2022年苹果公司对外宣布新的密码认证功能Passkeys以来,无密码身份认证技术在行业内就引起了广泛的关注和讨论,为当下互联网账号体系带来易用性、安全性和广泛性等多维度的巨大变革。国际上,微软、谷歌等巨头也都在加速推进。

  作为国内Android生态首家支持Passkeys技术的设备厂商,OPPO在ColorOS 14的发布会上就正式对外发布了自主研发的以生物特征认证为基础、可跨多终端使用的身份密钥技术。早在FIDO联盟提出安全密钥的概念时,OPPO就已经很有前瞻性的对这项技术开始了深入研究。得益于多年在数字身份密钥行业的技术沉淀,OPPO才能在国内率先推出以生物特征认证为基础、可跨多终端使用的身份密钥技术,打通行业生态壁垒。

  OPPO高级研发工程师李阳本次也应邀分享了OPPO在Passkeys方面的实践经验。以下内容整理自演讲议题《OPPO身份密钥-FIDO2实践分享》,主要内容如下:

  我们最熟悉的的身份验证方式无疑是使用账户密码进行登录,但是密码在易用性和安全性上一直存在诸多问题。

  首先是安全性上的问题。当前针对密码已形成了多种形式和规模的攻击,并已逐渐演变为可以规避多因素验证的方式,导致身份盗用风险持续增长。最常见的攻击包括网络钓鱼、暴力破解、凭据替换、恶意软件和中间人。

  为了提高安全性,开发者通常建议用户设置复杂的密码且在不同应用使用不同的密码,并且会启用多因素验证来加强身份验证的安全性,但这就导致了易用性方面的问题,如:

  传统方式很难兼顾易用性和安全性,我们应该的是一种既安全又简单的身份认证方式。2023年3月份FIDO联盟提出了多设备FIDO凭证的概念,通过优化身份验证的可访问和可用性,在增加安全性的同时提升使用者真实的体验。多设备FIDO凭证重新定义身份的方式,将现实的身份映射进在线服务中,为用户更好的提供了高安全级别、简单快速、生物特征的新解决方案。

  在FIDO联盟发布多设备凭证白皮书后,苹果、微软、谷歌等科技巨头陆续宣布对此技术的支持,并相继完成了身份认证底层的基础设施建设。如GoogleAccount于今年初接入了无密码认证方式。根据其提供的统计多个方面数据显示,无密登录的成功率比密码方式高4倍,使用密码登录的成功率仅为13.8%,而使用无密登录的成功率为63.8%。无密登录不仅更易于使用,而且比密码更快,这种易用性是无密身份认证的的关键价值。

  而OPPO也在ColorOS 14的发布会上正式公开宣布上线身份密钥功能,成为国内Android生态首家支持Passkeys技术的设备厂商。

  ●单设备密钥(密钥绑定到设备,不可多端同步),多设备密钥(密钥在设备间通过端到端加密进行云同步);

  ●支持手机作为认证器的internal和hybrid传输方式,支持通过USB、NFC或BLE使用外置硬件安全密钥;

  ●OPPO密码本提供了多设备密钥的管理功能,同时提供基于端到端加密的云同步功能;

  OPPO身份密钥技术是基于行业标准化,通过生物识别技术,提供更高安全级别的身份认证,能够大幅度简化用户的登录步骤,加速实现简单、易用、安全的无密码登录体验。而且,还能轻松实现跨多终端安全使用。

  在分享OPPO身份密钥的技术原理之前,我们先了解一下身份密钥的使用场景。这里简单展示一下OPPO身份密钥对Passkeys的支持。

  首先,使用OPPO浏览器访问 github 网站,点击网页上的“add a passkey”按钮,再进行一次指纹或者面部校验就可以完成Passkey的创建。创建一个密钥的流程和完成电子设备屏幕解锁的方式一模一样,非常贴近用户日常的使用习惯。

  那么怎么样去使用注册后的密钥进行登录?我们大家可以用刚刚注册的那个密钥来登录github网站。点击“sign in with a passkey”按钮,再进行一次指纹或者面部校验就可以完成登录,同样非常简单。

  OPPO身份密钥是基于FIDO技术标准而进行研发的,可以无缝对接苹果、Google、微软的Passkeys,在技术上具备跨设备、跨生态特性。通过相机扫描二维码的方式,用户都能够将手机作为漫游认证器进行密钥的注册和登录。也就是说,用户都能够拿自己的手机,来扫描别的设备显示的二维码,来授权账号在别的设备上登录。显示二维码的手机和扫描二维码的手机可以是同一个厂商的也可以是不同厂商的。

  OPPO账号从ColorOS14开始接入身份密钥,下面这两张截图展示了怎么样去使用OPPO手机扫码OPPO Pad,使其登录OPPO账号。

  OPPO设备创建的Passkeys能够最终靠基于端到端加密的密码本云同步机制,自动同步到登录相同OPPO账号的其他 OPPO 设备。因此用户的密钥随时可用,即使更换了设备也不需要重新创建。从这张OPPO密码本的截图上,能够正常的看到Google、微软的账号都已经接入了Passkeys,用户注册的Passkeys保存在了OPPO密码本中,可随时使用OPPO设备中保存的Passkeys登录Google、微软的账号。

  用户使用体验上,OPPO身份密钥拥有三大显著优点。首先,使用密钥能够大大减少用户输入,用户不需要记忆密码,甚至都不需要记忆账号。其次,使用指纹或面部进行身份认证,快速便捷,增加登录成功率。最后,密钥通过OPPO密码本进行多端同步,快速简单易用。当然,这些优点都是建立在安全可信赖的技术保障上,用户可放心使用。

  接下来聊聊OPPO身份密钥的技术原理。从下面这张技术架构图中,能了解身份密钥技术的三个重要参与方分别是认证器、客户端和应用服务提供方。

  对于手机来说,认证器和客户端都内置在手机系统中,客户端向应用提供方发起注册或登录请求接口,应用服务提供方返回WebAuthn报文,客户端将此报文进行CTAP协议转换后交给认证器,用户进行指纹或面容认证成功后,生成认证器报文返回给应用服务提供方,应用服务对报文校验成功后返回注册或登录成功。

  简单来说,创建一个身份密钥的过程,就是生成一对非对称的密钥,将私钥留在手机中加密保存,然后将公钥交给应用服务端保存。

  而使用密钥登录,就是证明拥有密钥的私钥,证明的过程就是将服务器发过来的一段数据来进行签名,将签名信息交回给服务端验签,服务端使用密钥的公钥验签通过后返回登录态,完成登录流程。

  OPPO设备提供端到端的加密来保障身份密钥可以安全地在各个设备上同步。端到端加密是目前安全级别非常高的一种端云协同加密技术,使用用户自己设备的锁屏密码的派生密钥对私钥进行加密保护,这在某种程度上预示着只有用户都能够解密和使用私钥,任何第三方包括OPPO都无法解密用户的私钥。

  ●使用公钥代替密码存储在应用服务提供方服务器,抵御了撞库、数据泄露等被盗号的风险;

  ●通过数字资产证明确保密钥只能在受信任网站和应用创建和使用,抵御钓鱼攻击;

  ●密钥在设备的可信执行环境中生成,使用受硬件保护的加密密钥进行加密后存储在安全文件系统中,保证私钥不被窃取;

  ●OPPO密码本为密钥提供了基于端到端加密的多端云同步功能,避免了内部恶意攻击。

  无密码、更安全的新一代快速身份认证趋势已经势不可挡。展望未来,从易用性和安全性来说,无密码登录是整个行业的大趋势,在各行各业都有广阔的应用场景,譬如:

  而以生物特征认证为基础、可跨多终端使用的OPPO身份密钥技术,一方面通过强大的加密技术使账号具备更高安全级别,保障用户个人信息和资产安全,另一方面兼容快速身份认证行业标准,无缝对接苹果、Google、微软等的Passkeys,助力生态安全,挖掘未来账号体系的更多可能性。

  随着慢慢的变多的设备对无密身份认证的支持,更多的应用开始接入无密身份认证,其前景将更加光明。

  对于开发者来说,通过访问OPPO开放平台,即可了解接入OPPO身份密钥的相关介绍、文档、Demo等详细内容。

  易用性与安全性的融合,一直以来都是OPPO关注的重点之一。技术的发展一日千里,更便捷、更安全的数字生活时代已经慢慢展开。