我正在尝试了解有关 Apple Passkeys 的更多信息。我使用 Firebase 作为后端,在没有自定义后端的情况下,将它实际集成到我的网站中似乎很麻烦\xe2\x80\xa6\n是否有 Passkeys+Firebase 实现的解决方案?网上实在找不到任何东西。
\n密码很好。数学很好。技术不错啊 [网络标准是Zumutung <- 询问 chatgpt]
https://security.googleblog.com/2023/05/so-long-passwords-thanks-for-all-phish.html
我仍然没有看到什么:
是通行证管理器还是操作系统?它应该是通行证管理器,因为我们将秘密存储在我们信任的通行证管理器中。我对 Apple、Google、Microsoft(或 Linux)没有敌意,顺便说一句,我使用 Google Pass Manager。但这应该是一个选择,如果您选择一个开源通证管理器(我将来可能会这样做),它应该创建密钥对(以及秘密私钥)。然而,在我看来,通行证管理器可能只能从操作系统获取 API,并且操作系统目前会创建密钥。就目前来看,未来世界上所有的秘密都将由3家美国公司创造?
还有一件事我无法理解:
或者设计意图只是让他们创建唯一的密钥(直到删除或更改),并且用户(实际上是 AGML)有责任跨平台同步密钥?这将如何发生?导出、加密导出,神奇吗?
[热烈欢迎这个问题在一分钟内被运营商之类的投票降低到-4......我实际上已经研究了很多。提出一个简单但关键的问题可能会显示出大量的研究工作。似乎没有人问谁创建了密钥(但这对于安全可能很重要,而且并不是每个用户都是绵羊材料:他们确实知道为他们创建了一些秘密,并且很多人想知道谁创建了它以及谁管理了它。您或您的通行证管理员创建了密码,这确实可以理解。我想我设法挖掘了两个简单的核心问题:谁应该创建通行密钥以及如何为那些不想付出努力的人同步它投资(时间,精力,金钱)在一个真正的跨平台通行证管理器上。当且仅当这两个问题得到回答并传达给用户(!)时,通行证才有可能取得成功,这将是伟大的。而且没有人在任何地方谈论它们!]
Apple 和 Google 都在其开发者大会(Google I/O和Apple WWDC 2022 )上演示了Passkeys,微软也参与其中。能够在设备之间传输密钥消除了 FIDO2/WebAuthn 的主要限制,并且可能会成为突破。
然而,苹果和谷歌在他们的演示中展示了在带有用户名和密码的帐户之上的密钥设置。创建密钥后,无需密码即可登录。
我正在尝试在我的应用程序中实现密钥。我想知道 ASAuthorizationPublicKeyCredentialAssertion.rawAuthenticatorData 是否支持signCount。看来值总是0。谢谢!
当我尝试为我的 Google 帐户创建密钥时,我惊讶地发现它知道我的密钥存储在哪里(1Password、iCloud 钥匙串、安全密钥等)。
现在,我已经研究 WebAuthn 协议一段时间了,甚至查看了协议扩展,但我找不到任何方法来获取有关用户注册的密钥类型的信息。
WebAuthn 支持吗?我认为这将是一个很好的替代方案,可以替代要求用户为其密钥提供昵称的方法。