Google帐户现在允许Android网络用户使用其指纹进行身份验证

谷歌正在让Android用户更容易通过移动网络进行身份验证,允许他们仅使用指纹来验证自己的身份。

数据泄露的主要原因是密码泄露,无论是密码卫生不良还是更复杂的攻击,这就是技术公司和在线服务提供商正在探索替代安全认证方法的原因。为了帮助实现这一目标,万维网联盟(W3C)最近批准了WebAuthn--一种官方的Web标准Web身份验证API - 在W3C和FIDO联盟首次宣布后三年。

WebAuthn,它是FIDO2身份验证规范的一部分,并得到许多大牌W3C贡献者的支持,包括亚马逊,苹果,阿里巴巴,Mozilla,PayPal,Yubico和Google,在各种设备和平台的场景中都很有用。首先,它可以在移动Web服务上启用无密码登录,这意味着登录到手机上特定网站的用户可能会被提示在该网站上注册他们的设备,之后他们可以使用先前配置的本地身份验证方法,例如作为屏幕锁定PIN码或生物识别机制。最终目标是使在线帐户更安全,同时确认用户识别尽可能少的障碍。这也意味着用户只需在线服务注册其生物识别凭证,即可在网络和本机应用中使用。

从今天开始,Google正在推出针对Android设备上某些服务的无密码身份验证,利用FIDO2标准,FIDO CTAP和WebAuthn,旨在“......提供更简单,更安全的身份验证体验”,博客显示来自公司的帖子。实际上,这意味着您现在可以使用指纹或设备的屏幕锁定代码通过网络访问某些Google服务。

为了解决问题,您无需先输入Google帐户密码即可通过passwords.google.com访问所有已保存的密码。该公司尚未确认将来会支持哪些其他Google服务,但一位发言人告诉VentureBeat,随着时间的推移,它将更广泛地纳入Google登录。

互联网巨头很快就会强调它没有收到用户指纹的副本 - 一切都是在设备上本地完成的。该公司写道:“只有你正确扫描过它的加密证据才能发送给谷歌的服务器。”“这是FIDO2设计的基本组成部分。”

新的身份验证功能将在未来几天内运行Android Nougat(7.0)及更高版本的所有设备上。要利用新功能,用户需要在设备上登录其个人Google帐户并设置屏幕锁定代码,这里值得注意的是,它最初只能与Google自己的Chrome浏览器配合使用。

谷歌一直在加强其用户安全工作,去年该公司推出了自己的物理安全密钥,称为Titan,旨在通过更强大的两步验证(2SV)来支持Google帐户。这实际上可以与基于本地生物识别的身份验证一起使用 - 安全密钥可用于确保只有合法所有者才能访问新设备上的帐户,然后使用指纹重新验证已登录其Google帐户的用户。

此外值得注意的是,这一首次实施可能会推动对其他FIDO2兼容设备的广泛推动,其中一些即将上市的Chromebook也将采用指纹识别器。

“这项新功能标志着我们迈向认证更安全,更易于每个人使用的又一步,”Google表示。“随着我们继续采用FIDO2标准,您将开始看到更多地方可以接受密码的本地替代方案作为Google和Google云服务的身份验证机制。”