谷歌今天宣布:运行 iOS 13.3 及以上版本的苹果设备使用 Google Accounts 时可原生支持 Web 认证(Web Authentication,简称 WebAuthn),从而改善在 iOS 设备上的安全密钥体验,并允许谷歌帐号和谷歌 Advanced Protection Program 使用更多安全密钥类型。
在本次更新调整之后,iOS 用户能够使用带 NFC 的谷歌 Titan Security Keys,能够通过点击密钥背面按钮的安全方式来登录 iPhone。
如果你拥有一个苹果 Lightning 转 USB Camera Adapter,那么谷歌帐号能够使用像 YubiKey 5Ci 这样的 Lightning 或者 USB 安全密钥。而 USB-C 端口的安全密钥可以直接通过 USB-C 端口插入到 iOS 设备(例如iPad Pro)中。
谷歌推荐用户安装 Smart Lock 应用来使用蓝牙安全密钥或者 iPhone 内置的安全密钥,从而在 iPhone 上为谷歌帐号提供额外安全保护。谷歌还推荐那些攻击风险较高的目标用户尽量使用安全密钥,并加入谷歌 Advanced Protection Program,通过物理安全密钥提供额外的帐号保护。
与双因素验证相比,使用物理安全密钥提供了更多的保护,因为它要求你必须拥有物理密钥(或使用智能锁应用的iPhone密钥)才能登录谷歌账户,而不仅仅是数字生成的代码。
WebAuthn于2015年11月由W3C和Fido联盟宣布,现已成为网上无密码登录的开放标准。它由W3C贡献者支持,包括Airbnb、阿里巴巴、苹果、谷歌、IBM、英特尔、微软、Mozilla、PayPal、软银、腾讯和Yubico。2019年3月,Web身份验证API(WebAuthn)现在已成为官方Web标准。
该规范允许用户使用生物特征、移动设备和/或FIDO安全密钥登录在线帐户。Android和Windows10已经支持WebAuthn。在浏览器方面,谷歌Chrome、Mozilla Firefox和微软Edge浏览器去年都开始支持WebAuthn。自去年12月以来,苹果就在Safari的预览版中支持WebAuthn。
W3C首席执行官杰夫·贾夫在一份声明中说:“现在是时候让Web服务和企业采用WebAuthn来超越易受攻击的密码,帮助Web用户提高在线体验的安全性了。W3C这一标准建立了Web范围的互操作性指导,为Web用户和他们访问的站点设定了一致的期望。W3C正致力于在自己的站点上实现这一最佳实践。