Android用户将更容易安全登录Web账户

Google近日推出了一项新服务，允许运行Android 7及以上版本的用户在访问某些Google服务时，使用设备的指纹或屏幕锁定功能代替密码进行登录。目前，该服务仅适用于Google的密码管理器（Password Manager），并且仅限于部分Android机型。未来几天内，该功能将扩展到所有运行Android 7及以上版本的设备。Google尚未公布何时会在Gmail、其他Google服务或非Google网站上启用该功能。

技术标准与安全性

新的登录方法基于FIDO2、W3C WebAuthn和FIDO CTAP等广泛行业标准，这些标准由多家公司共同开发，旨在减少对密码的依赖，转而使用物理安全密钥、指纹或其他生物识别技术进行身份验证。Google在周一的博客文章中宣布了这一功能，标志着首次在Web环境中（而非原生移动应用内）使用生物识别技术进行身份验证。

使用步骤

要使用该功能，用户需满足以下条件：设备运行Android 7及以上版本，配置了Google账户，并启用了“有效”的屏幕锁定。具体操作步骤如下：

1. 在Android设备上打开Chrome应用。
2. 访问https://passwords.google.com。
3. 选择要查看或管理保存密码的网站。
4. 按照提示确认身份。

安全性与潜在风险

Google强调，指纹信息不会发送到服务器，而是“安全存储”在设备上。根据FIDO2设计的核心要求，仅发送指纹扫描正确的加密证明到Google服务器。然而，该功能可能带来一些安全风险：

1. 法律上，法院通常对拒绝提供密码的被告给予更多宽容，而生物识别信息则可能被视为可没收的证据。
2. 用户可以选择使用PIN、密码或图案解锁手机来验证Web账户，这可能不如直接在浏览器中输入密码方便，且可能降低安全性。
3. 如果用户启用了Chrome浏览器之间的同步密码短语，则无法在密码管理器中使用FIDO2身份验证，这可能需要关闭许多用户认为是最佳实践的保护措施。

总结

尽管该功能目前仅限于Google密码管理器和部分Android设备，但它展示了在减少密码依赖方面的有限进展。虽然该功能提供了便利，但用户应意识到其可能带来的安全风险。Google表示，未来可能会将该功能扩展到更多服务，但目前尚未确定具体时间表。