發布日期:2024 年 9 月 9 日
2024 年 6 月,Google 與 FIDO 聯盟合作,在東京舉辦密碼金鑰黑客松。目的是讓參與者親身體驗如何開發密碼金鑰,並為實際產品製作密碼金鑰原型,Google 和 FIDO Alliance 的專員也會在旁提供指導。
這場黑客松活動吸引了 9 個團隊投入開發密碼金鑰,評審團選出四個最具創新性和影響力的專案。
大獎得主:慶應大學 SFC-RG pkLock 團隊 (慶應大學)
Keio University 的 SFC-RG pkLock 團隊是這場競賽中唯一挑戰將 IoT 裝置與密碼鎖結合的隊伍,甚至還帶來了 3D 印表機。
他們的 pkLock (發音為「pic-lock」) 旨在解決 Airbnb 和其他私人住宿業者常見的鑰匙交接問題,方法是使用密碼金鑰跨裝置驗證機制。
他們製作的裝置包括安裝在門外側的 QR code 顯示裝置,以及安裝在門內側的解鎖裝置。除了裝置之外,使用者還可以透過網路應用程式預訂和解鎖。住客只要將手放在門前 QR code 顯示裝置下方,使用手機讀取顯示的 QR code,然後執行密碼金鑰驗證 (跨裝置驗證),即可解鎖門鎖。
他們也特別設計出精密的裝置,方便房東在住宿處安裝。他們採用全面性的方法,同時考量這些裝置可能廣泛採用的情況,這點深受評審委員認同。
在簡報過程中,他們實際解鎖了在黑客松期間製作的微型門,讓觀眾非常興奮。在這個示範中,裝置會顯示 QR code,其中包含含有一次性權杖的網址,可將使用者導向驗證頁面。他們日後預計在裝置上導入混合式傳輸機制,以便直接解鎖。他們在黑客松中獲得勝利,因為他們率先探索在 IoT 裝置上使用密碼金鑰的可能性。
FIDO 獎項 1:SKKN (早稻田大學)
SKKN 是早稻田大學的研究團隊,專門從事隱私權研究。團隊已提出密碼金鑰的進階用途,將密碼金鑰與新興技術 (可驗證憑證 (VC) 和零知識證明) 結合。由於可驗證憑證和零知識證明是自主身分和去中心化身分 (SSI/DID) 的焦點,因此他們的簡報吸引了黑客松評審和其他參與者的高度關注。
可驗證憑證 (VC) 是用來證明使用者資訊 (例如姓名、隸屬機構和地址) 的數位憑證。如果儲存及管理 VC 的持有者 (錢包) 存在安全漏洞,VC 就可能遭到竊取,而其他人也可能透過出示 VC 來冒用使用者身分。除了讓只有具備 FIDO 憑證的使用者能夠出示 VC,他們也開發了一種方法,讓只有可信任的錢包服務能夠處理 VC。
他們的實作方式有幾個優點:
- 連結及發出 VC 和 FIDO 憑證後,只有 FIDO 擁有者才能使用 VC。
- 只能使用發布者和驗證者信任的錢包。
- 使用金鑰後,VC 和錢包就能備份及復原,即使使用者遺失裝置,也能復原。
FIDO 獎項 2:東急 ID (Tokyu)
東急集團的 URBAN HACKS 團隊 (又稱為 TOKYU ID 團隊),因在 TOKYU ID 中採用創新的密碼金鑰而獲得 FIDO 獎。東急集團是一家大型日本企業集團,旗下業務範圍廣泛,以運輸和都市開發為主。
TOKYU ID 可簡化日常互動,例如搭乘火車。團隊深知使用者體驗的重要性,因此在 2024 年 2 月導入密碼金鑰登入功能,以解決可能發生的問題,例如在網路應用程式提供的數位票務服務中,因雙重驗證延遲而錯過火車。
他們參加了這場黑客松,驗證自己對 TOKYU ID 的願景。他們的理想情況是,所有使用者都能使用密碼金鑰註冊及登入,並能順利復原帳戶。為實現這項目標,他們在黑客松活動中著重於兩項主要導入作業:在初始會員註冊程序中啟用密碼金鑰註冊功能,以及導入社群媒體帳戶登入功能以便帳戶復原。透過社群登入功能進行復原後,使用者只能註冊密碼金鑰,這也凸顯了團隊對以密碼金鑰為中心設計的承諾。他們也整合了 FedCM,改善帳戶連結程序中的使用者體驗。
TOKYU ID 團隊以密碼金鑰為重點的做法,展現了對使用者需求和產品需求的深刻瞭解。在黑客松活動中,他們成功實作解決方案,並帶來精彩的簡報,因此獲得 FIDO 獎。值得一提的是,他們整合 Google 登入功能時,並未使用 GIS SDK,而是僅使用 FedCM 搭配一般 JavaScript!
Google 獎項:Nulab 團隊 (Nulab)
Nulab 是一家軟體公司,提供 Backlog、Cacoo 和 Nulab Pass 等服務。他們在各項服務中提供多種雙重驗證解決方案 (安全金鑰、簡訊 OTP、電子郵件 OTP、TOTP) 和 WebAuthn。Nulab 是 WebAuthn 的早期採用者,自 2023 年 10 月起,他們就已全面支援密碼金鑰。
他們已實作八項新功能:
- 密碼金鑰資訊卡
- 密碼金鑰簡介內容
- 密碼金鑰採用者獎勵
- 協助順利復原帳戶
- 「使用密碼金鑰登入」按鈕
- 密碼金鑰採用者必須使用雙重驗證
- 針對憑證外洩情形,移除密碼並推廣密碼金鑰
- 在重設密碼時推廣密碼金鑰
他們在黑客松活動中示範了如何協助使用者順利復原帳戶:他們的想法是,在使用者新增密碼金鑰時,提醒他們採取額外動作。如果新增的密碼金鑰與裝置綁定,請建議使用者透過其他密碼管理工具新增另一組密碼金鑰。如果新增的密碼金鑰已同步,請建議使用者移除密碼。
他們還為採用密碼金鑰的使用者提供獎勵,並以醒目顯示使用者帳戶圖示。當使用者採用裝置綁定的密碼金鑰時,圖示就會開始旋轉。使用者採用已同步的密碼金鑰後,圖示就會開始閃爍。由於這是一項企業工具,因此使用者採用密碼金鑰後,就能在公司內部脫穎而出。
評審委員對他們提出的創意想法印象深刻,這些想法可改善密碼金鑰的導入方式,特別是使用者如何復原帳戶。
更多有趣的專案
黑客松活動的所有團隊都提出了有趣的想法,以下是他們的專案概要:
- Nikkei ID (Nikkei):在 OpenID Connect 上導入密碼金鑰,減少使用者摩擦。
- Dentsu Soken (Dentsu Soken):將密碼金鑰與 Google 登入功能結合,讓使用者能順利完成註冊程序。
- SST-Tech (Secure Sky Technology):探索密碼金鑰模擬功能,用於安全性評估。
- Ajitei Nekomaru (慶應大學):在開放原始碼學習管理系統 (LMS) 中導入密碼金鑰驗證機制。
- MyLIXIL (LIXIL):已完成將密碼金鑰做為 MyLIXIL 的驗證方法。
如要進一步瞭解各個專案,請參閱完整的 東京 Passkeys 黑客松報告。
重點摘要和未來展望
在整個黑客松活動中,參與者都分享了寶貴的意見和問題,不僅強調對密碼鑰的熱情,也指出需要改善的部分。以下是黑客松的幾項重點:
- 越來越多人想將密碼金鑰與其他技術 (例如可驗證憑證和零知識證明) 結合使用。
- 我們仍將使用者體驗視為首要考量重點,因此團隊會專注於讓密碼金鑰更容易使用及採用。
- 這場黑客松活動凸顯了密碼金鑰的潛力,不僅可用於傳統登入程序,還可用於物聯網和數位身分等領域。
這場活動大獲成功,激發了許多新想法和合作機會。隨著密碼金鑰的採用率提高,這類活動對於推動創新和解決挑戰至關重要。
這對密碼鑰來說是令人振奮的時期,而東京黑客松就是證明,開發人員渴望突破極限,探索更多可能。