发布时间:2024 年 9 月 9 日
2024 年 6 月,Google 与 FIDO 联盟合作,在东京举办了通行密钥黑客马拉松。旨在让参与者亲自体验如何开发通行密钥,以及如何为真实产品原型化通行密钥,并由 Google 和 FIDO 联盟的工作人员提供指导。
在本次黑客马拉松中,9 支团队深入研究了通行密钥,评委会从中选出了 4 个最具创新性和影响力的项目。
总冠军:庆应大学 SFC-RG pkLock 团队(庆应大学)
庆应大学的 SFC-RG pkLock 团队是本届比赛中唯一一个接受将 IoT 设备与通行密钥相结合这一挑战的团队,他们甚至还带来了一台 3D 打印机。
他们的 pkLock(发音为“pic-lock”)旨在通过使用通行密钥跨设备身份验证,解决 Airbnb 和其他民宿钥匙交接繁琐这一常见问题。
他们开发的设备由安装在门外面的二维码显示设备和安装在门内侧的解锁设备组成。除了设备之外,还有一个 Web 应用供用户进行预订和解锁。访客可以通过以下方式解锁门锁:将手放在门前二维码显示设备下方,用手机读取显示的二维码,然后执行通行密钥身份验证(跨设备身份验证)。
他们还特别注重设计出房东希望安装在其住宿中的精致设备。他们全面的方法(同时考虑到这些设备的潜在广泛采用)深深打动了评委。
在演示过程中,他们实际解锁了他们在黑客马拉松期间制作的迷你门,让观众非常兴奋。在本演示中,设备显示了一个二维码,其中包含一个包含一次性令牌的网址,该令牌会将用户定向至身份验证页面。未来,他们计划在设备上实现混合传输,以实现直接解锁。他们在探索在 IoT 设备上使用通行密钥的可能性方面做出了开创性努力,因此赢得了黑客马拉松比赛。
FIDO 奖 1:SKKN(早稻田大学)
SKKN 是早稻田大学的一个研究团队,专门从事隐私保护研究。该团队展示了通行密钥的一个非常高级的用例,将通行密钥与新兴技术(可验证凭据 [VC])和零知识证明相结合。由于可验证凭据和零知识证明是自有身份和去中心化身份 (SSI/DID) 的焦点,因此他们的演示吸引了黑客马拉松评委和其他参与者的极大关注。
可验证凭据 (VC) 是用于证明用户信息(例如姓名、隶属关系和地址)的数字证书。如果存储和管理 VC 的持有者(钱包)存在漏洞,其他人可能会盗取 VC,并通过出示 VC 来冒充用户。除了仅允许拥有 FIDO 凭据的用户提供 VC 之外,他们还开发了一种方法,只允许可信的钱包服务处理 VC。
他们的实现具有以下几点优势:
- 通过关联和签发 VC 和 FIDO 凭据,只有 FIDO 的所有者才能使用 VC。
- 只能使用由发卡机构和验证者信任的钱包。
- 借助通行密钥,用户可以备份和恢复 VC 和钱包,即使丢失设备,也能恢复。
FIDO Award 2:TOKYU ID (Tokyu)
东京急行公司 URBAN HACKS 团队(也称为 TOKYU ID 团队)因其在 TOKYU ID 中采用创新通行密钥而获得了 FIDO 奖。Tokyu Group 是一家日本大型企业集团,业务范围广泛,以交通运输和城市发展为中心。
TOKYU ID 旨在简化日常互动,例如乘坐火车。该团队深知用户体验至关重要,因此在 2024 年 2 月实施了通行密钥登录,以解决因网络应用提供的数字票务服务中的双重身份验证延迟而导致的潜在问题,例如错过火车。
他们参加此次黑客马拉松是为了验证他们对 TOKYU ID 的构想。 他们设想的理想场景是,所有用户都使用通行密钥进行注册和登录,并且能够顺畅地恢复账号。为此,他们在黑客马拉松中重点关注了两项关键实现:在初始会员注册流程中启用通行密钥注册,以及引入社交登录功能以便恢复账号。独特的是,通过社交登录方式恢复账号后,用户只能注册通行密钥,这凸显了该团队对以通行密钥为中心的设计的承诺。他们还集成了 FedCM,以改善账号关联流程中的用户体验。
TOKYU ID 团队以通行密钥为中心的方法,体现了对用户需求和产品要求的深刻理解。在黑客马拉松中,他们成功实现了自己的解决方案,并进行了精彩的演示,最终赢得了 FIDO 奖。值得注意的是,他们在集成 Google 登录时没有使用 GIS SDK,而是仅使用了 FedCM 的纯 JavaScript!
Google 奖:Nulab 团队 (Nulab)
Nulab 是一家软件公司,提供 Backlog、Cacoo 和 Nulab Pass 等服务。他们在各项服务中提供了多种双重身份验证解决方案(安全密钥、短信动态密码、电子邮件动态密码、TOTP)和 WebAuthn。Nulab 是 WebAuthn 的早期采用者,自 2023 年 10 月起全面支持通行密钥。
他们实现了八项新功能:
- 通行密钥卡片
- 通行密钥简介内容
- 通行密钥采用者奖励
- 协助顺利恢复账号
- “使用通行密钥登录”按钮
- 强制要求采用通行密钥的用户启用双重身份验证
- 在凭据泄露时移除密码并推广通行密钥
- 在重置密码时宣传通行密钥
他们在黑客马拉松大会上演示了如何提供帮助,以便用户顺利恢复账号:其想法是,在用户添加通行密钥时,通过额外的操作来提醒用户。如果添加的通行密钥绑定到设备,请建议用户通过其他密码管理工具添加另一个通行密钥。如果添加的通行密钥已同步,请建议用户移除密码。
他们还为采用通行密钥的用户提供了奖励,并突出显示了用户账号图标。当用户采用设备绑定的通行密钥时,该图标会开始旋转。当用户采用已同步的通行密钥时,该图标会开始闪烁。由于这是一款企业工具,因此这会激励用户通过采用通行密钥在公司内脱颖而出。
评委们对他们提出的改进通行密钥实现的创意想法印象深刻,尤其是用户如何恢复账号。
更多有趣的项目
黑客马拉松的所有团队都提出了有趣的想法,下面简要介绍了他们的项目:
- Nikkei ID (Nikkei):在 OpenID Connect 之上实现了通行密钥,从而减少了用户的使用障碍。
- Dentsu Soken (Dentsu Soken):将通行密钥与 Google 登录功能相结合,实现顺畅的用户引导流程。
- SST-Tech(Secure Sky Technology):探索了通行密钥模拟功能,以进行安全评估。
- Ajitei Nekomaru(庆应大学):向开源 LMS 引入了通行密钥身份验证。
- MyLIXIL (LIXIL):已成功将通行密钥作为 MyLIXIL 的身份验证方法加以实现。
如需详细了解每个项目,请参阅完整的 Tokyo 通行密钥黑客马拉松报告。
要点和未来展望
在整个黑客马拉松活动期间,参与者分享了宝贵的反馈和问题,既体现了对通行密钥的热情,也指出了需要改进的地方。以下是黑客马拉松的几点主要收获:
- 越来越多的人开始关注将通行密钥与其他技术(例如可验证的凭据和零知识证明)相结合。
- 用户体验仍然是我们的首要任务,各团队将致力于让通行密钥变得更加易于使用和采用。
- 该黑客马拉松活动突出展示了通行密钥在传统登录方式之外,还可应用于物联网和数字身份等领域。
本次活动取得了圆满成功,激发了许多新想法和合作。随着通行密钥的广泛采用,像这样的活动对于推动创新和应对挑战至关重要。
这是一个令人兴奋的通行密钥时代,东京黑客马拉松证明了开发者渴望突破可能的界限。