Google本周宣布,专替记者、官员、人权工作者、政治竞选人员等高风险使用者所设计的进阶保护计划(Advanced Protection Program,APP)将开放使用者透过通行密钥(Passkey)来注册及使用,不再强制要求使用实体金钥。
APP是Google为了保护上述使用者的Google帐户安全所实施的计划,原本要求使用者必须拥有两个实体安全金钥才能注册,使用密码与其中一个实体金钥来登入服务,另一个实体金钥则当作备份。Google去年率先开放使用者利用Passkey来登入APP,现在则进一步允许使用者以APP来注册APP。
Passkey是由一组金钥组成,其中的公钥用于注册网站或App,私钥则是存放在用户装置上,在所登入的服务注册了Passkey之后,使用者即可利用装置上的生物辨识功能或装置PIN码来登入各式服务,由于它奠基在FIDO 2/WebAuthn标准上,因而得以跨平台运作。
Google表示,此一改变是为了因应使用者不见得总是能够取得或买到实体金钥,例如身处战区的记者,旅行中的竞选工作人员,或者是紧急或突发的商务旅行,Passkey则可让高风险的Google用户得以选择使用他们既有的个人设备来进行身分验证,而不一定要使用实体金钥。
不过,若是以Passkey来注册APP,Google还会要求使用者新增复原选项,诸如电话号码、电子邮件、其它的APP或安全金钥,以在被锁住时重新取回帐户。
迄今Google的合作伙伴已于全球分发了超过20万个免费的实体安全金钥,并在20个国家提供安全培训,以保护这些高风险人士的Google帐户安全。