如何得到的参会机会
老板给的机会,说字节有个关于账号安全的会,问我要不要参加。我思考了一下,决定去吧,虽然是周六,要牺牲休息时间,出去交流交流,也能开拓一下眼界。年纪越大,世界会慢慢的变小,慢慢地只愿意去熟悉自己熟悉的内容,会下意识远离新的事物。
参会的过程记录
到达目的地,一看是CSO会议,心想有点高端,但又一想,真的CSO基本不会周六过来,基本也是派个下属过来参加,就这还得看是否有人愿意。因为这一看,就是字节想卖产品,找甲方沟通的情况。后来也印证了我的判断,因为中间茶歇,产品说以为来的是销售,没想到来的全是技术,问的全是细节。
整体的过程就是介绍产品,演示passkey,大家讨论有什么问题。
passkey过程说明
以移动端为例,在移动端设备的安全区域生成私钥并将公钥上传到对应的服务器,在登录的时候,服务端会用公钥生成一个challenge,并传给客户端,客户端获得后,进行生物验证,然后调用内部API去用私钥加密,得到一个响应值,并将这个响应值发送给服务器验证,服务器用公钥去解密验证,正确的话就验证通过。
介绍过程
产品哥哥的眼圈有点重,看上去是没休息好,精神状态并不好。这是我的第一直觉。
提前了解了一下passkey并不是什么新技术,已经比较成熟了,但为什么字节要拿出来卖呢?有什么核心的竞争力么?
这个问题,研发在回答另一个问题的时候,是说也可以自建的,不过如果自己自建的话,会踩很多坑,国内安卓环境太过复杂,他们作为领先者,是有优势的(可以用成本优势挤垮后来者,这个是我脑补的)。
作为金融行业,比较关注的是,怎么保证资金安全,同时满足合规与监管要求。这种方式,不一定受监管认可。
我提出的问题时,引入passkey后,B端情况,针对员工共享账号,A员工将apple id账号密码给B时,B登录之后,通过passkey可以直接登录A员工的账号,但因为是passkey认证方式,这种方式如果引入额外的风控,显得很另类,失去了原有快捷地初衷,最后还不如不用这项技术。
同时,针对C端,客户因为apple id 账号密码被社工,这个基本整个apple id主账号下的所有设备,都会面临一定的风险,而因引入passkey而产生的这个损失,责任是很难界定的。
对于问题,演示的小姐姐她并不理解faceid是基于设备的,不会跟账号走,她以为在另一台设备,也得使用她的face才能登录,只要使用新设备拥有者录入的生物信息就可以的,不会同步信息的。
会后的一些思考
作为银行从业人员,肯定是考虑该项技术在银行业中的应用情况,结合白天的讨论,小结了一下passkey技术在金融业账号安全领域的一些问题思考。
- 监管角度,Passkey 技术是否支持国密算法(如 SM2、SM3、SM4)
- Passkey 作为身份验证方式,需要监管部分明确其法律地位是否与传统密码等同。(IBKR有使用passkey作为2FA方式,当然这是国外的券商)
- 必须支持私有化部署,这关系到数据安全,系统可用性及合规要求。
- 社工主账号泄露导致关联账号被攻击,商讨的方案是,可以采用禁止设备迁移的设置,或者首次登录额外加验的方式进行控制。但是在现有银行首次登录,账号+密码+OTP+人脸的方式,在这种多因素验证的方式下,再引入passkey对安全性提升实在有限。
- 引入后的兼容问题,针对传统验证流程,兼容passkey对系统稳定性的影响。
- 能解决的问题:对于阻止指纹登录被重放登录攻击的话,passkey应该会是一项很好的技术