1Password 新功能 Passkey 登录,丝滑的用户验证 workflow
alexkuang · 2023-09-28 05:13:21 +08:00 · 2894 次点击这是一个创建于 408 天前的主题,其中的信息可能已经有所发展或是发生改变。
目前试了 Google 和 GitHub 都已经支持了,而且不是作为密码之外的多因素验证,是替代密码。最新的浏览器和移动操作系统( Android iOS )都原生支持,1Password 实现了跨平台同步支持,体验非常丝滑。
https://www.loom.com/share/be72660ecf33468084ce3e12281552ae?sid=dc2c5cf8-25e5-44e1-8dfa-3cbd222b69b7
 |
1
weazord 2023-09-28 05:19:55 +08:00 via iPhone
大部分账号的 passkey 我都放 1password 上面了,个别账号(比 1password 的主密码还重要的账号)还是用的普通 fido key
|
 |
2
jadec0der 2023-09-28 06:26:35 +08:00
谢谢推荐,试了一下挺好用的,你不说我都没注意那么多网站的 password 设置里悄悄多了一项
|
 |
4
shortxxx 2023-09-28 08:24:10 +08:00
Passkey 不能钓鱼了就是强 但是不能用双盲密码也是一个弊端吧?
--- 双盲密码就是两组不同密码的组合。其基本思想是,把密码分为两个部分 - 一部分存储在密码管理器中(以下简称密码 A ) - 另一部分存储在您的脑部(以下简称密码 B ) 这意味着,密码管理器只存储随机生成的密码,即密码 A ,但并不知道密码 B 。 例如:存储在密码管理器中的用户名为:John ,密码为:rock-and-roll ,而您存储在脑部的密码为 Mix (密码 B ) 那么,您最终用于登录的凭据为:用户名 John ,密码:rock-and-rollMix 这相当于增加了一层防护,只有您自己才能解锁。同样,该密码 B 越长越好(或者一个简单的单词亦可),但只限于您自己知道。 |
|
5
weazord 2023-09-28 08:31:25 +08:00
@shortxxx 对我来说 Google 账号就比 1password 重要,没放密码管理器+fido key 两步验证
不过 1password 应该也算是安全, 我 eth 的私钥存几年了也还没丢 (本来想迁移的后来想想算了 哪天被偷了我就第一时间知道 1password 主密码泄漏了 |
 |
6
necpom 2023-09-28 08:32:49 +08:00
随便搜了下没看懂,能介绍下它的核心原理吗?是类似设备指纹吗?还有它的防盗机制是什么?
|
 |
8
onionnews 2023-09-28 08:42:28 +08:00
Enpass 移动端现在也支持。桌面端的更新提到了 passkey ,可能要等之后的版本
|
 |
10
Sharuru 2023-09-28 08:57:20 +08:00 via iPhone
Passkey 真的很丝滑,一键登录,但是你知道他足够安全。
|
 |
11
alexkuang OP @shortxxx #4 你这就是一种多因素验证的形式,不过本来用 1Password 同时存储多个因素(密码和 TOTP )其实就有点安全逻辑上的漏洞的,现在用 Passkey 确实有回退到单因素验证之嫌,但还是比基于密码的传统单因素验证安全很多,比如可以防止简单密码、重复用的密码泄漏之类的。
|
|
12
alexkuang OP @necpom 其实就是基于 WebAuthn 的,目前最新的手机操作系统、浏览器都支持了。简单的原理可以参考 https://webauthn.guide/
只不过 1Password 的优化是可以跨平台,可以在所有支持 1Password 的平台上使用。 |
|
13
shortxxx 2023-09-28 10:01:51 +08:00
> 但还是比基于密码的传统单因素验证安全很多,比如可以防止简单密码、重复用的密码泄漏之类的。
是的 我觉得本身生成密码可以在一定程度解决这个问题 唯一解决不了的就是被钓鱼和社会工程 |
|
15
shortxxx 2023-09-28 12:26:57 +08:00
是一种物理验证钥匙 你搜搜 YubiKey
|
 |
16
mangoDB 2023-09-28 13:07:45 +08:00  1
补充一个 https://passkeys.directory/ 可以用来了解已经支持 Passkey 的网站
|
Select Language