根據FIDO聯盟,密碼是超過80%數據洩露的根本原因。為了解決這個問題,github有引入抗網絡釣魚的Passkey身份驗證。 Passkeys滿足密碼和2FA要求,使用戶只需一步即可安全地登錄其GitHub帳戶。這種體驗不僅限於啟用2FA的用戶 - 所有用戶只能使用其Passkey完成登錄。
支持者說,使用PassKey比傳統身份驗證方法提供了更好的安全性。它消除了登錄過程中的密碼或共享秘密,因此攻擊者很難攔截密碼或使用被盜的憑據。它還在瀏覽器會話和用戶的設備之間創建了牢固的紐帶,只允許從對應用程序進行身份驗證的設備登錄。此外,使用PassKey確保只能在設備和註冊服務提供商之間進行憑證交換,這阻止了登錄到偽造或網絡釣魚網站。
GitHub用戶可以使用其帳戶頁面上的“功能預覽”選項卡升級其合格的安全鍵並註冊新的Passkeys。合格的安全密鑰是可以驗證用戶身份的那些鍵,例如觸摸ID,Windows Hello,Android Thumbprints或Pin-Locked或Biotic Hardware鍵。
這些新的Passkeys可以跨設備使用。跨設備身份驗證使用戶可以通過驗證手機或平板電腦的存在來登錄其筆記本電腦/台式機。需要手機或平板電腦的物理關閉提供更多的網絡釣魚阻力。
可以自動跨設備同步GitHub Passkey,也可以選擇使用非序列密鑰。 PassKey功能也可以隨時禁用。如果創建了PassKey然後禁用,則仍然可以用作2FA的安全密鑰。
GitHub無密碼身份驗證方法的引入為用戶提供了更流暢,更安全的帳戶體驗,具有提高的靈活性和可靠性。使用PassKeys是實現GitHub無密碼身份驗證目標的重要一步,並幫助所有開發人員在不犧牲便利性的情況下採用強大的帳戶安全性。
根據Eduardo Azanza的說法看到:“看到組織朝著無密碼的未來發展至關重要。當我們看到數字和物理世界的融合時,生物驗證是保護和保護用戶的唯一方法。”
Azanza在電子郵件中補充說:“除了GitHub用戶對用戶的安全利益外,生物識別技術會大大改善用戶體驗。” “通過生物識別驗證,用戶不必記住數十個密碼,在被遺忘時將其重置或進行雙重身份驗證步驟。生物識別技術將在幾秒鐘內驗證和對用戶進行身份驗證,而不會使用戶感到沮喪,如果涉及密碼,情況就是這樣。”
