2024 年 6 月,Google 与 FIDO 开展合作 联盟在东京举办了一场通行密钥黑客马拉松。通过 旨在为参与者提供通行密钥开发的实际体验, 与 Google 和 FIDO 联盟合作,为现实产品设计通行密钥原型 提供指导。
在本次黑客马拉松中,9 支团队深入探究了通行密钥,评委选出了 4 个 极具影响力的创新项目。
大奖得主:庆应大学 SFC-RG pkLock 团队(庆应大学)
庆应大学的 SFC-RG pkLock 团队是本次竞赛中唯一一个 应对将 IoT 设备与通行密钥相结合的挑战,他们甚至 有一个 3D 打印机
他们的 pkLock(发音为“pic-lock”)旨在解决 使用通行密钥为 Airbnb 和其他私人住宿带来繁琐的钥匙交接工作 跨设备身份验证。
他们创建的设备由安装在 门外有一个安装在门外的解锁设备。此外 用户可使用一款 Web 应用 正在解锁。客人只需在二维码下方握住手,即可打开门锁 门口有显示二维码的显示设备,正在读取显示的二维码 以及执行通行密钥身份验证(跨设备 身份验证)。
他们还特别注重设计出能够托管 安装在自己房间里的用户他们采用全面的方法, 以及这类设备的广泛普及率 引起了评委的强烈共鸣。
在演示过程中,他们通过以下做法激发了观众的热情: 解锁了他们在黑客马拉松中制作的微型门为此 设备显示的二维码中包含一个 令牌将用户引导至身份验证页面。未来,他们计划 在设备上实现混合传输以启用直接解锁功能。获胜 以开创性地探索云计算的可能性 在 IoT 设备上使用通行密钥。
FIDO 奖 1:SKKN(早稻田大学)
SKKN 是早稻田大学的一个研究小组,专门研究隐私保护 研究。该团队已经展示了一个非常高级的通行密钥用例, 利用新兴技术(可验证的凭据)管理客户。 (VC) 和零知识证明。 由于可验证的凭证和零知识证明备受关注, 自我主权身份 和分散式身份 (SSI/DID)、其 都引起了黑客马拉松评委和 其他参与者。
可验证凭据 (VC) 是数字证书,用于 例如姓名、联属机构和地址。如果指定的持有人(钱包) 存储和管理 VC 易受攻击,VC 可能被他人窃取 可以通过显示视频会议来模拟用户除了启用 拥有 FIDO 凭证出示 VC 的用户,他们开发了一种方法 仅允许受信任的钱包服务处理风险投资。
其实现具有多项优势:
- 关联和签发 VC 和 FIDO 凭据后,只有 FIDO 的所有者 可以使用视频会议
- 只能使用受发卡机构和验证机构信任的钱包。
- 使用通行密钥,可以备份和恢复 VC 和钱包, 即使用户丢失设备,他们也可以恢复数据
FIDO 奖 2:TOKYU ID(东京)
URBAN HACKS 团队(也称为 TOKYU ID 团队)来自 Tokyu Corporation, 因在东京公司采用创新的通行密钥技术而获得 FIDO 奖 ID。东急集团是一家大型日本企业集团,在 以交通和城市发展为核心。
TOKYU ID 旨在简化火车出行等日常互动流程。 认识到用户体验的重要性后,该团队实施了 通行密钥登录,以解决缺少 因为数字票务服务的双重身份验证延迟 由 Web 应用提供。
他们参与了这次黑客马拉松,验证他们对 TOKYU ID 的愿景。 理想的场景是,所有用户都能使用 通行密钥,再辅以无缝账号恢复功能。为实现这一目标,他们将重点 两个关键实现:启用通行密钥注册 在最初的会员注册过程中,以及为 Google 员工提供社交登录功能, 账号恢复。独一无二,用户通过社交媒体登录进行恢复后 这也凸显了该团队致力于确保安全 以通行密钥为中心的设计他们还集成了 FedCM, 拥有丰富的账号关联流程经验。
TOKYU ID 团队以通行密钥为中心的方法展现出深刻的理解 用户需求和产品要求在黑客马拉松上,他们成功地 实施了自己的解决方案,并进行了有趣的演示, 并为他们颁发 FIDO 奖。值得注意的是,他们集成了 Google 登录功能,而没有使用 使用 FedCM 只使用原始 JavaScript 的 GIS SDK!
Google 奖:Team Nulab (Nulab)
Nulab 是一家软件公司,提供 待办、Cacoo 和 Nulab 通过。它们具有多重双重身份验证 身份验证解决方案(安全密钥、短信动态密码、电子邮件动态密码、TOTP)和 WebAuthn 资源。Nulab 是 WebAuthn 的早期采用者, 他们自 2023 年 10 月起开始全面支持通行密钥。
他们实现了八项新功能:
- 通行密钥卡片
- 通行密钥介绍内容
- 通行密钥采用者奖励
- 协助孩子顺利恢复账号
- 使用通行密钥按钮登录
- 对使用通行密钥的用户而言,强制实施 2FA
- 针对凭据泄露而移除密码和宣传通行密钥
- 重置密码时提升通行密钥
他们在黑客马拉松中演示了如何协助用户顺利恢复账号: 这样做的目的是,在用户添加 通行密钥如果添加的通行密钥是设备绑定的,建议用户再添加一个 其他密码管理工具中的通行密钥如果添加的通行密钥已同步, 建议用户移除密码。
他们还为通过用户账号采用通行密钥的用户实施了奖励 图标突出显示。当用户采用设备绑定通行密钥时,图标会开始显示 进行循环沟通。当用户采用已同步的通行密钥时,该图标会开始闪烁。 由于这是一款企业级工具,因此可以激励用户 来开发应用。
他们对改进通行密钥的创意构想给评委留下了深刻印象 特别是用户如何恢复自己的账号
更多有趣的项目
黑客马拉松的所有团队都有有趣的想法,下面 其项目:
- 日经 ID (Nikkei ID):在 OpenID Connect 的基础上, 减少用户遇到的阻力
- Dentsu Soken (Dentsu Soken):可将通行密钥与 Google 登录功能搭配使用 实现顺畅的用户入门流程。
- SST-Tech (Secure Sky Technology):探索了适用于 安全评估。
- Ajitei Nekomaru(基欧大学):引入了通行密钥身份验证 开源学习管理系统 (LMS)。
- MyLIXIL (LIXIL):完成将通行密钥作为 MyLIXIL 的身份验证方法。
如需详细了解每个项目,请查看 东京通行密钥黑客马拉松报告。
要点总结和未来发展
在整个黑客马拉松中,参与者分享了宝贵的反馈和问题, 凸显用户对通行密钥的热情以及有待改进的方面。 以下是黑客马拉松的一些要点:
- 将通行密钥与其他技术相结合,这一举措越来越普遍。 例如可验证的凭据和零知识证明。
- 用户体验仍是重中之重,各团队将重点放在打造 更加易于使用和采用。
- 黑客马拉松凸显了通行密钥的巨大潜力 进入物联网和数字身份等领域。
这次盛会大获成功,引发了新的想法和新的合作。如 越来越多的用户采用通行密钥,像这样的活动是推动创新和 应对挑战。
如今对通行密钥而言是个激动人心的时刻,而东京黑客马拉松恰好证明了 开发者渴望突破极限