活动 | 走进火山引擎：账号保护的应用与实践

2019年某厂商被撞库攻击，导致1.72亿用户基本信息被泄漏。此外，Facebook程序员的失误导致在数据库明⽂储存⽤⼾密码，影响了2亿-6亿用户。包括钓鱼攻击、客户端攻击、上下游攻击等，都说明了账号管理的重要性，其不但会使公司业务受损，会对运营商、社会安全造成大量的损失。

而passkey正是由此应运而生。通常而言，任何技术都会有其相对应的“不可能三角”。比如追求安全性，就一定会在便捷性、性价比上有所欠缺。而passkey却在此背景下，有效地平衡了三者间的关系。

首先，passkey在安全性方面具备基于硬件的强校验功能，最高可达AAL3级别。同时，passkey也是目前已知的，唯一可抗钓⻥攻击的登录⽅式。在面对各种攻击时，passkey可有效防护撞库攻击或密码复用等场景。针对服务器泄漏等情况，passkey在服务器存的是⽤来解密的公钥，因此即使真的数据库被盗，⿊客拿到了公钥也起不了什么作⽤。

其次，在便携性方面，passkey无论是在生物认证方式（⼈脸、指纹、⼿势），还是在开锁方式上都能真正实现⼀键多因⼦登录，登录时间降低⾄少70%。其一键登录的背后其实以验证两个因子为主，其一是基于存储在硬件上的私钥签名，验证了设备本身的持有行，其二是通过FaceID/指纹或者pin码，验证了生物信息或者知识信息。同时，passkey这样的验证方式可覆盖当下所有主流的系统和设备。

最后，在性价比方面，与短信OTP对比，passkey能使用户成本大大降低，尤其是涉及到海外场景时，短信费⽤可降低80%，并能减少60%处理密码重置的⼈⼯客服成本。就目前passkey刚上线不久而言，已为国内主流厂商每年节省了上千万的费用。

可以说，当前只要是需通过“账户+密码”方式进行登录的场景，无论是B端还是C端，都可替换成Passkey。比如在企业办公时，Passkey可和企业SSO系统打通，保护员⼯在各种办公系统的登录认证和敏感操作时触发⼆次认证；再比如用户使用APP时，Passkey可帮助应⽤开发者提供更安全和⽅便的⽅式，保护终端用户在应⽤上的登录认证，以及敏感操作时触发⼆次认证。

从具体实例来看，各高校学生更倾向于使用Passkey，因此即使在⽆推⼴策略的情况下，使用Passkey的新用户始终在稳定增⻓。

某海外应用上，用户对Passkey接受度更是大幅度的增长，几个月内增长速率可达10倍以上，据相关数据呈现，从0用户到破亿，只用了八个月的时间，且目前增速依旧保持稳定。从收益方面来看，Passkey能为用户带来的益处是：

1、高于任何其他登录方式的成功率；

2、高于任何其他MFA方式的用户转化率；

3、大大减少了短信服务费支出。

技术层面，对现有账户而言，注册Passkey的过程和传统OTP方式并无差别。而对于新账户来说，海外许多平台在创建账号的时候就能直接创建Passkey，甚至连密码都不需要，整个账号创建的过程可精简至必要的几步，创建过程无比丝滑，可保证企业应用在国际上的推广速度。

活动现场演示了如何在网页端SSO平台上注册和使用Passkey登录。由于Passkey是一个新的概念，因此SSO平台将Passkey和用户熟悉的概念——生物特征识别相关联，方便用户快速理解Passkey的概念。

在SSO网页端注册Passkey时，用户需要在登录态下进入身份认证器设置，选择开启“生物特征识别认证”，跟随用户指引完成本设备上Passkey的注册。

如此，短短几秒钟的时间，用户就能完成Passkey的注册。

之后返回首页，在身份验证器上可看到生物特征识别认证已经开启。点击身份列表，用户可在其中对各新注册的Passkey进行管理，比如在不同设备上有着不同的Passkey，用户可对其重命名，以达到区分的目的。整个注册过程对用户而言学习成本较低。

在SSO网页端使用Passkey进行身份验证时，浏览器会弹出一个对话框，提示用户选择一个可用的认证器。认证器可以是设备内置的认证器（如指纹、面部识别），也可以是外部的硬件认证器（如USB Security Key）。浏览器会根据用户选择的设备或认证器引导用户进行验证。

SSO网页端的身份验证过程中，提供了两种可选择的方式，即Passkey二步验证和Passkey一步认证。Passkey的二步验证替代了传统使用邮箱或短信的二次验证，用户在输入账号密码后，跟随弹窗指引进行指纹解锁，解锁后，便能进入SSO。而Passkey的一步认证更为高效便捷，用户甚至无需输入账号密码，只需点击登录界面上的一步认证按钮，完成弹窗指纹验证，即可进入SSO。由于现阶段是Passkey推广的过渡阶段，提供两种方式能帮助用户更快地适应和接受这一新功能。

Passkey认证过程的核心在于使用公私钥对进行认证，而私钥永远不离开设备，确保了高度的安全性。此外，Passkey方案通过设备、生物特征和用户账户的绑定，确保了即使设备丢失或被盗，也不会轻易导致账户安全泄露。

具体过程：当用户点页面按钮进⾏Passkey验证时，服务端会生成⼀个challenge， 即⼀个随机字符串，发给认证器。接着，用户在客⼾端设备上选择⾃⼰已注册的认证器，并⽤注册时相同的⽅法解锁，这个解锁过程实现了设备对⼈的认证。而认证器会根据用户的账号信息（uid等）选择正确的私钥，并使⽤该秘钥给challenge添加数字签名。最后，客户端设备将经过签名的挑战发送回服务器，后台会⽤该公钥对signed challenge验证签名，确认是否校验成功。这个验证签名的过程完成了服务端对设备的认证。

在移动端该如何使用Passkey？以飞书APP为例，首先要点击设置，找到账号安全中心，找到Passkey选项，和在网页端注册、登录一样，在移动端需要进行相同的操作。移动端管理Passkey时，同样可在Passkey列表上进行重命名或删除的操作。

总结：Passkey作为认证产品，不同应用方需根据自己的风险偏好，以及对用户应用性的理解，做出相应的产品决策。同样是在Passkey产品使用的切换期，由于金融行业的监管更严，所以他们需要足够的风控手段，比如对于老旧设备在应用Passkey时所需的管控措施等。而其他行业，像那些拥有社交类应用的企业，他们可能更关注的是账户留存、新账户的增加或用户体验等，因此他们可以更快地接受Passkey，其关注度也会集中于新设备的安全水位。

总结：从安全性而言，Passkey所具备的多因子认证能力一定比密码要安全，因此许多海外用户已经舍弃了密码。关于合规，从现阶段来看，只能具体行业具体实施，有些行业对密码有监管要求的，那就只能将Passkey作为辅助功能。但Passkey作为最新的认证技术趋势，若其发展前景确实能保证用户的安全性和便捷性，那相对应的合规要求应该也有可能改变。之所以称其为Passkey，其最终的目标就是将密码完全取代。

总结：没有任何一种认证方式是绝对安全的，当下所有的技术手段其实都需要基于对比，因此Passkey的可应用性在于时代背景，同时在于和其他认证方式的比较。当然，设备本身的安全性也是一大考量，比如苹果、谷歌等，它们本身的安全性也在业内前列。此外，通过火山引擎所提供的SDK，用户可将Passkey只维持在本地，不去和云端做同步，这样便能大大提高安全性。

针对新技术的引入会否带来其他风险，其关键点在于与其他身份验证方式的横向比较。Passkey 作为一种密码和传统MFA替代方案，具有许多安全优势。它基于公钥加密技术，私钥永远不离开设备，因此能够有效防止密码泄露、暴力破解攻击和钓鱼攻击。即使攻击者获取了用户的用户名和密码，也无法直接进行身份验证，因为他们没有私钥。对于新技术必然需要具备相应的风控机制和应对方案，这也是接下去火山引擎会重点研究的方向。