谷歌今天宣布:运行 iOS 13.3 及以上版本的苹果设备使用 Google Accounts 时可原生支持 Web 认证(Web Authentication,简称 WebAuthn),从而改善在 iOS 设备上的安全密钥体验,并允许谷歌帐号和谷歌 Advanced Protection Program 使用更多安全密钥类型。
 
  在本次更新调整之后,iOS 用户能够使用带 NFC 的谷歌 Titan Security Keys,能够通过机身背面的 NFC 接触安全方式来登录 iPhone。
 
  如果你拥有一个苹果 Lightning 转 USB Camera Adapter,那么谷歌帐号能够使用像 YubiKey 5Ci 这样的 Lightning 或者 USB 安全密钥。而 USB-C 端口的安全密钥可以直接通过 USB-C 端口插入到 iOS 设备(例如 iPad Pro)中。
 
  谷歌推荐用户安装 Smart Lock 应用来使用蓝牙安全密钥或者 iPhone 内置的安全密钥,从而在 iPhone 上为谷歌帐号提供额外安全保护。谷歌还推荐那些攻击风险较高的目标用户尽量使用安全密钥,并加入谷歌 Advanced Protection Program,通过物理安全密钥提供额外的帐号保护。
 
  与双因素验证相比,使用物理安全密钥提供了更多的保护,因为它要求你必须拥有物理密钥(或使用智能锁应用的 iPhone 密钥)才能登录谷歌账户,而不仅仅是数字生成的代码。
 
  WebAuthn 于 2015 年 11 月由 W3C 和 Fido 联盟宣布,现已成为网上无密码登录的开放标准。它由 W3C 贡献者支持,包括 Airbnb、阿里巴巴、苹果、谷歌、IBM、英特尔、微软、Mozilla、PayPal、软银、腾讯和 Yubico。2019 年 3 月,Web 身份验证 API(WebAuthn)现在已成为官方 Web 标准。
 
  该规范允许用户使用生物特征、移动设备和/或 FIDO 安全密钥登录在线帐户。Android 和 Windows10 已经支持 WebAuthn。在浏览器方面,谷歌 Chrome、Mozilla Firefox 和微软 Edge 浏览器去年都开始支持 WebAuthn。自去年 12 月以来,苹果就在 Safari 的预览版中支持 WebAuthn。
 
  W3C 首席执行官杰夫·贾夫在一份声明中说:“现在是时候让 Web 服务和企业采用 WebAuthn 来超越易受攻击的密码,帮助 Web 用户提高在线体验的安全性了。W3C 这一标准建立了 Web 范围的互操作性指导,为 Web 用户和他们访问的站点设定了一致的期望。W3C 正致力于在自己的站点上实现这一最佳实践。”