谷歌给Android用户不需要密码一些网站需要指纹登录
和微软一样,谷歌也采用了新的标准,允许用户使用手机的指纹传感器而不是密码登录网站。
该公司宣布,在访问其Pixel手机上的一些谷歌服务时,将启用基于指纹的验证,这是朝这个方向迈出的关键一步。在未来几天内,所有安卓7及以上的设备都将通过谷歌Play服务升级来实现这一功能。
今年2月,谷歌宣布Android 7及以上版本已通过FIDO2标准认证,该标准和相应的WebAuthn标准应能减少用户对密码的依赖。
微软的Windows 10版本1903版的Windows Hello生物识别登录系统今年也获得了类似的FIDO2认证,允许用户使用指纹、面部或个人识别码登录一系列微软在线服务。
谷歌的Android升级是为超过10亿Android用户(约占Android用户总数的一半)带来无密码体验的开始。
合并后的标准可能有助于避免常见的需要密码的登录过程的一些缺点。许多人倾向于创建简单的密码,以使它们更容易记住,但这也使它们在密码泄露时更容易被破解。
为了对谷歌账户使用新的"本地用户验证",用户需要运行Android 7或更高版本,并且必须在Android设备上添加一个个人谷歌账户,并设置屏幕锁定。
在Android上使用Chrome,用户可以在谷歌的密码管理器网站https://passwords.google.com上测试这一功能,该网站包含一系列服务和证书。然后要求个人通过扫描指纹来确认身份。
谷歌对本地用户验证和它的双因素身份验证进行了重要的区分,以便为帐户提供额外的保护,防止钓鱼攻击。安全密钥(比如它的Titan密钥和Yubico密钥)和本地用户验证都使用FIDO2标准。
然而,本地用户验证用于"在升序流期间重新验证已登录用户的身份"。
另一方面,安全密钥可以用来设置新设备,比如Android手机,作为两步验证过程的一部分,以确保它是访问它的帐户的正确所有者。谷歌使用安全密钥作为其Gmail高级保护程序的一部分。
谷歌说,用户不应该担心他们的指纹被发送到它的服务器,因为指纹实际上是被注册并存储在设备上的。之后,一个密码证明被发送到谷歌的服务器。
一旦谷歌拥有特定Android设备的凭据,用户就可以用指纹登录到兼容的服务。
谷歌的Christiaan品牌的软件工程师何东静(音)写道:"这项新功能标志着我们在让认证变得更安全、更容易让所有人使用的道路上又迈出了一步。"
"随着我们继续采用FIDO2标准,你会看到越来越多的地方接受本地替代密码作为谷歌和谷歌云服务的认证机制。"