谷歌正在為安卓密碼管理器提供通行密鑰Passkey遷移支持將密鑰導入到新設備

安全 PRO 稿源：藍點網(wǎng) 2025-04-04 20:59

谷歌在安卓系統(tǒng)里提供的密碼管理器也已經(jīng)支持 Passkey 通行密鑰功能，幫助用戶使用更安全的通行密鑰作為 MFA 驗證方式甚至替代密碼，這樣可以避免某些網(wǎng)站數(shù)據(jù)庫泄露導致用戶賬戶數(shù)據(jù)泄露。

不過這個密碼管理器到現(xiàn)在為止還未提供通行密鑰的導出和導入功能或者云同步，這意味著如果用戶更換設備、恢復出廠設置或者設備丟失，那么都需要為所有網(wǎng)站重新創(chuàng)建通行密鑰，如果用戶在綁定通行密鑰時沒有設置備用恢復方法，可能還需要聯(lián)系網(wǎng)站 / 服務商的客服提交身份證明材料進行重置。

在 2024 年 FIDO 聯(lián)盟宣布正在開發(fā)跨設備和跨平臺的通行密鑰遷移系統(tǒng)，現(xiàn)在看起來谷歌也在努力使用該系統(tǒng)幫助用戶更便捷的遷移密鑰，但谷歌也在采取措施防止用戶將密鑰導出到潛在的惡意應用程序中。

Android Password Manager Passkey 示例圖

Android Authority 對谷歌密碼管理器 APK 文件拆解，拆解發(fā)現(xiàn)谷歌已經(jīng)增加通行密鑰導出的相關(guān)字符串，也能通過谷歌的提示詞大概猜出來導出過程是什么樣子。

<string?name="pwm_credential_export_confirmation_title">Export?passwords?&?passkeys</string> <string?name="pwm_credential_export_no_credentials_description">You?don’t?have?any?passwords?or?passkeys?to?export?from?Google?Password?Manager?for?%1$s</string> <string?name="pwm_install_password_manager_dialog_text">Your?device?doesn’t?have?a?password?manager?that?supports?automatically?transferring?your?passwords?and?passkeys.?If?you?already?downloaded?your?passwords,?you?can?try?importing?the?CSV?file.</string> <string?name="pwm_install_password_manager_dialog_title">Install?a?password?manager</string>

<string?name="pwm_import_credentials_dialog_description">Import?passwords?&?passkeys?from?another?password?manager?to?Google?Password?manager</string> <string?name="pwm_import_credentials_dialog_instruction_1">On?the?next?screen,?choose?the?password?manager?that?has?your?passwords?&?passkeys</string> <string?name="pwm_import_credentials_dialog_instruction_2">Sign?in?to?the?other?password?manager?and?follow?their?instructions</string> <string?name="pwm_no_credentials_imported_dialog_text">The?other?password?manager?didn’t?share?any?passwords?or?passkeys.</string> <string?name="pwm_no_credentials_imported_dialog_title">Nothing?imported</string>

<string?name="pwm_export_credentials_blocked_importer_message">Export?blocked?for?your?protection</string> <string?name="pwm_export_credentials_blocked_importer_sub_message">The?password?manager?you’re?trying?to?export?to?doesn’t?follow?best?practices</string>

為避免通行密鑰導出和導入功能被惡意程序利用，或者避免被某些不可靠的應用程序泄露用戶的通行密鑰，谷歌采取措施審查第三方應用程序嘗試導出通行密鑰，確保這些應用程序遵守安全協(xié)議避免泄露密鑰。

暫時還不確定谷歌什么時候會正式推出這個功能，不過總得來說提供導出和導入功能讓用戶在更換設備時遷移通行密鑰會更方便，至少不需要提前對每個網(wǎng)站都解綁，然后在新設備上重新設置通行密鑰。

安全提醒：

通行密鑰是可以替代密碼的，某些網(wǎng)站只需要提供用戶賬戶和通行密鑰就可以登錄，而用戶賬戶通常都是電子郵件地址基本都被泄露過，因此通行密鑰關(guān)乎用戶賬戶安全，如無必要用戶不應該嘗試導出通行密鑰，也不應該將通行密鑰分享給任何人。

0XU.CN