国内首发！OPPO 身份密钥亮相 Passkeys 技术论坛，与 FIDO 联盟探讨行业发展方向

随着互联网的普及和移动设备的广泛应用, 人们对于身份认证安全性和便捷性的要求也越来越高,Passkeys 技术应运而生, 为互联网安全和数字化进程注入了新的活力。近日, 由 FIDO 联盟中国工作组主办、国民认证承办的在线沙龙活动「Passkeys 技术实现与应用」成功举办, 聚焦国内产业界对于 Passkeys 技术的实现与应用进展情况, 与百余名专业观众共同探讨行业研究成果与实践经验。

本次沙龙由 FIDO 联盟中国工作组联合主席柴海新主持, 他指出, 在数字化日益普及的今天, 无论是线上购物、社交媒体登录, 还是企业内部的权限管理, 身份验证都是保障信息安全的关键。

自 2022 年苹果公司对外宣布新的密码认证功能 Passkeys 以来, 无密码身份认证技术在行业内就引起了广泛的关注和讨论, 为当下互联网账号体系带来易用性、安全性和广泛性等多维度的巨大变革。国际上, 微软、谷歌等巨头也都在加速推进。

作为国内 Android 生态首家支持 Passkeys 技术的设备厂商,OPPO 在 ColorOS 14 的发布会上就正式发布了自主研发的以生物特征认证为基础、可跨多终端使用的身份密钥技术。早在 FIDO 联盟提出安全密钥的概念时,OPPO 就已经非常有前瞻性的对这项技术开始了深入研究。得益于多年在数字身份密钥行业的技术沉淀,OPPO 才能在国内率先推出以生物特征认证为基础、可跨多终端使用的身份密钥技术, 打通行业生态壁垒。

OPPO 高级研发工程师李阳本次也应邀分享了 OPPO 在 Passkeys 方面的实践经验。以下内容整理自演讲议题《OPPO 身份密钥-FIDO2 实践分享》, 主要内容如下:

● OPPO 身份密钥推出的背景

● OPPO 身份密钥的使用场景

● OPPO 身份密钥的技术方案

● OPPO 身份密钥的行业展望

● 如何接入 OPPO 身份密钥

OPPO 推出身份密钥的背景

我们最熟悉的的身份验证方式无疑是使用账户密码进行登录, 但是密码在易用性和安全性上一直存在诸多问题。

首先是安全性上的问题。当前针对密码已经形成了多种形式和规模的攻击, 并已逐渐演变为可以规避多因素验证的方式, 导致身份盗用风险持续增长。最常见的攻击包括网络钓鱼、暴力破解、凭据替换、恶意软件和中间人。

为了提高安全性, 开发者通常建议用户设置复杂的密码且在不同应用使用不同的密码, 并且会启用多因素验证来加强身份验证的安全性, 但这就导致了易用性方面的问题, 如:

● 密码管理复杂, 容易忘记密码;

● 增加登录时间, 降低登录成功率;

● 某些多因素认证方式专业性高, 会让用户困惑, 不适合普通用户。

传统方式很难兼顾易用性和安全性, 我们需要的是一种既安全又简单的身份认证方式。2023 年 3 月份 FIDO 联盟提出了多设备 FIDO 凭证的概念, 通过优化身份验证的可访问和可用性, 在增加安全性的同时提升用户体验。多设备 FIDO 凭证重新定义身份的方式, 将现实的身份映射进在线服务中, 为用户提供了高安全级别、简单快速、生物特征的新解决方案。

在 FIDO 联盟发布多设备凭证白皮书后, 苹果、微软、谷歌等科技巨头陆续宣布对此技术的支持, 并相继完成了身份认证底层的基础设施建设。如 Google Account 于今年初接入了无密码认证方式。根据其提供的统计数据显示, 无密登录的成功率比密码方式高 4 倍, 使用密码登录的成功率仅为 13.8%, 而使用无密登录的成功率为 63.8%。无密登录不仅更易于使用, 而且比密码更快, 这种易用性是无密身份认证的的关键价值。

而 OPPO 也在 ColorOS 14 的发布会上正式宣布上线身份密钥功能, 成为国内 Android 生态首家支持 Passkeys 技术的设备厂商。

OPPO 身份密钥目前支持的特性包括:

● 单设备密钥 (密钥绑定到设备, 不可多端同步), 多设备密钥 (密钥在设备间通过端到端加密进行云同步);

● 支持手机作为认证器的 internal 和 hybrid 传输方式, 支持通过 USB、NFC 或 BLE 使用外置硬件安全密钥;

● 支持可发现凭证的匿名方式认证, 提供多账号选择器;

● OPPO 密码本提供了多设备密钥的管理功能, 同时提供基于端到端加密的云同步功能;

● OPPO 浏览器提供了对 WebAuthn(Web Authentication API) JS 接口的支持, 支持 Web 业务使用 OPPO 身份密钥。

OPPO 身份密钥的使用场景

OPPO 身份密钥技术是基于行业标准化, 通过生物识别技术, 提供更高安全级别的身份认证, 能够大幅度简化用户的登录步骤, 加速实现简单、易用、安全的无密码登录体验。而且, 还可以实现跨多终端安全使用。

在分享 OPPO 身份密钥的技术原理之前, 我们先了解一下身份密钥的使用场景。这里简单展示一下 OPPO 身份密钥对 Passkeys 的支持。

首先, 使用 OPPO 浏览器访问 github 网站, 点击网页上的「add a passkey」按钮, 再进行一次指纹或者面部校验即可完成 Passkey 的创建。创建一个密钥的流程和完成手机屏幕解锁的方式一模一样, 非常贴近用户日常的使用习惯。

那么如何使用注册后的密钥进行登录? 我们可以用刚刚注册的那个密钥来登录 github 网站。点击「sign in with a passkey」按钮, 再进行一次指纹或者面部校验即可完成登录, 同样非常简单。

OPPO 身份密钥是基于 FIDO 技术标准而进行研发的, 可以无缝对接苹果、Google、微软的 Passkeys, 在技术上具备跨设备、跨生态特性。通过相机扫描二维码的方式, 用户可以将手机作为漫游认证器进行密钥的注册和登录。也就是说, 用户可以拿自己的手机, 来扫描其他设备显示的二维码, 来授权账号在其他设备上登录。显示二维码的手机和扫描二维码的手机可以是同一个厂商的也可以是不同厂商的。

譬如这个场景, 在 iPhone 上通过 safari 浏览器打开 github 网站, 点击「sign in with a passkey」, 选择二维码方式, 然后使用 OPPO 手机的相机扫码, 按照提示完成身份认证后, 就可以在 iPhone 上成功登陆 github 网站。

OPPO 账号从 ColorOS14 开始接入身份密钥, 下面这两张截图展示了如何使用 OPPO 手机扫码 OPPO Pad, 使其登录 OPPO 账号。

OPPO 设备创建的 Passkeys 可以通过基于端到端加密的密码本云同步机制, 自动同步到登录相同 OPPO 账号的其他 OPPO 设备。因此用户的密钥随时可用, 即使更换了设备也无需重新创建。从这张 OPPO 密码本的截图上, 可以看到 Google、微软的账号都已经接入了 Passkeys, 用户注册的 Passkeys 保存在了 OPPO 密码本中, 可随时使用 OPPO 设备中保存的 Passkeys 登录 Google、微软的账号。

用户使用体验上,OPPO 身份密钥拥有三大显著优点。首先, 使用密钥可以减少用户输入, 用户不需要记忆密码, 甚至都不需要记忆账号。其次, 使用指纹或面部进行身份认证, 快速便捷, 增加登录成功率。最后, 密钥通过 OPPO 密码本进行多端同步, 快速简单易用。当然, 这些优点都是建立在安全可信赖的技术保障上, 用户可放心使用。

OPPO 身份密钥的技术方案

接下来聊聊 OPPO 身份密钥的技术原理。从下面这张技术架构图中, 可以了解身份密钥技术的三个重要参与方分别是认证器、客户端和应用服务提供方。

对于手机来说, 认证器和客户端都内置在手机系统中, 客户端向应用提供方发起注册或登录请求接口, 应用服务提供方返回 WebAuthn 报文, 客户端将此报文进行 CTAP 协议转换后交给认证器, 用户进行指纹或面容认证成功后, 生成认证器报文返回给应用服务提供方, 应用服务对报文校验成功后返回注册或登录成功。

简单来说, 创建一个身份密钥的过程, 就是生成一对非对称的密钥, 将私钥留在手机中加密保存, 然后将公钥交给应用服务端保存。