FIDO Alliance网站
专门推动各种身分验证标准、以减轻对密码依赖的开放联盟FIDO Alliance,周一(10/14)发表了一组新规范,包括凭证交换协定(Credential Exchange Protocol,CXP)与凭证交换格式(Credential Exchange Format,CXF),以推动凭证的可携,包括通行密钥(Passkey)与其它凭证。
Passkey是由一组金钥组成,其中的公钥用于注册网站或App,私钥则是存放在用户装置上,于所登入的服务注册了Passkey之后,使用者即可利用装置上的生物辨识功能或装置PIN码来登入各式服务。Passkey被视为比密码安全又方便的凭证,不管是微软、苹果或Google等科技业者皆已支援Passkey。
FIDO联盟表示,安全凭证交换是该联盟的焦点,新的工作草案将能进一步加速Passkey的采用并改善用户体验,迄今已有超过120亿个网路帐号是透过Passkey存取。相较于传统密码或是双因素身分验证,采用Passkey登入可减少网路钓鱼,消除重复使用的密码,而且登入速度提升了75%,登入成功率也增加了20%。
只不过,现阶段尚无法在不同的密码管理员或生态系统间安全地移动Passkey,CXP与CXF这两个规范草案定义了如何将凭证从一个凭证管理员安全地传送到另一个凭证管理员,确保传输不是以明文进行。
此一草案是由1Password、苹果、Bitwarden、Dashlane、Enpass、Google、微软、NordPass、Okta、三星及SK Telecom等FIDO联盟成员所组成的凭证供应商特别兴趣小组(Credential Provider Special Interest Group)共同制定,意谓著它们都将加入凭证可携的行列。