東京的密碼金鑰黑客松：在 IoT 裝置上使用密碼金鑰等

Milica Mihajlija

2024 年 6 月，Google 與 FIDO 合作 聯盟在東京舉辦密碼金鑰黑客松。 目的是讓參與者實際體驗密碼金鑰開發流程，以及 與 Google 和 FIDO 聯盟合作，為實際產品設計密碼金鑰原型 提供指引

黑客鬆的 9 個團隊深入探索密碼金鑰，而評審選出最多四支 創新又具影響力的專案

首獎得主：Keio University SFC-RG pkLock 團隊 (基奧大學)

參與這項競賽的唯一團隊是 Keio University 的 SFC-RG pkLock 團隊 是結合 IoT 裝置與密碼金鑰的一大挑戰 也介紹了 3D 印表機

他們的 pkLock (發音為「pic-lock」) 旨在解決 使用密碼金鑰，為 Airbnb 和其他私人住宿安排麻煩的鑰匙 跨裝置驗證

他們建立的裝置包含安裝在 門外有一部解鎖裝置此外， 網路應用程式有使用者預訂及預訂的 正在解鎖訪客只要將手放在 QR code 下方，即可解開門鎖 圖碼顯示裝置站在門前，讀取顯示的 QR code 手機，並執行密碼金鑰驗證 (跨裝置) 驗證)。

他們也特別注重設計的精密裝置， 也想安裝在飯店內採用全方位的做法 考量到這類裝置普及率也相當高 也非常瞭解評審團。

簡報期間，他們產生許多驚喜 其實打開了我在黑客松中建造的微型門。為此 畫面，裝置會顯示含有一次性網址的 QR code 這個權杖會將使用者導向驗證頁面。在未來，他們打算 在裝置上實作混合傳輸，以啟用直接解鎖功能。勝選 開創新局，開始探索 Google 的可能性 在 IoT 裝置上使用密碼金鑰

FIDO 獎 1：SKKN (威斯達大學)

SKKN 是 Waseda University 的研究團隊，專精於隱私權相關領域 研究。該團隊運用了相當進階的密碼金鑰用途， 運用可驗證憑證的新興技術 (VC) 及零知識證明。 正如可驗證的憑證和零知識證明， 自主身分 和分散式識別資訊 (SSI/DID)， 這場簡報受到黑客松評審的喜愛 和其他參與者。

可驗證憑證 (VC) 是證明使用者的數位憑證 姓名、聯盟和地址等資訊如果持有人 (錢包) 儲存和管理創投公司無所謂 可以顯示 VC 來冒用使用者除了啟用 使用者擁有 FIDO 憑證來呈現 VC 時，已開發出 只允許受信任的錢包服務處理 VC。

導入結果有以下幾個優點：

• 僅連結 FIDO 的擁有者，透過連結及核發 VC 和 FIDO 憑證 他們可以使用 VC
• 只能使用發卡機構和驗證者信任的錢包。
• 使用密碼金鑰可備份及復原 VC 和錢包， 即使裝置遺失，使用者也能復原。

FIDO 獎牌 2：TOKYU ID (Tokyu)

URBAN HACKS 團隊 又稱為 TOKYU ID 團隊，來自 Tokyu Corporation 因 TOKYU 創新密碼金鑰採用率而獲得 FIDO 獎 編號。「東急集團」是日本企業集團的大型日本企業集團 以交通和都市發展為中心的企業。

TOKYU ID 是專為簡化日常互動 (例如搭火車) 而設計。 團隊體認到使用者體驗的重要性後，團隊決定 2024 年 2 月登入密碼金鑰，解決潛在問題，例如缺少 因數位售票服務雙重驗證延遲而造成的火車班次 由網頁應用程式提供

他們參與了這場黑客松，驗證自己的 TOKYU ID 願景。 理想情境是希望所有使用者在註冊及登入 密碼金鑰，搭配順暢的帳戶救援程序。為了達成這個目標 在黑客鬆的兩項重要實作上：啟用密碼金鑰註冊功能 會員註冊流程，以及推出社群登入功能 帳戶救援明確來說，透過社群媒體登入恢復帳戶之後，使用者 獲準註冊密碼金鑰，突顯團隊對於 以密碼金鑰為主的設計他們也整合 FedCM 以提升使用者參與度 全新的體驗

TOKYU ID 團隊採用以密碼金鑰為主的做法，展現了深入的瞭解 滿足使用者需求和產品需求黑客鬆活動成功 並提供了一份有趣的簡報 他們是 FIDO 獎值得一提的是，他們還整合了 Google 登入功能，未使用 僅搭配基本 JavaScript 使用 FedCM 的 GIS SDK！

Google 獎：團隊 Nulab (Nulab)

Nulab 是一家軟體公司，專門提供這類服務， 格式為 Backlog、Cacoo 和 Nulab 票證。他們有多個雙重驗證 驗證解決方案 (安全金鑰、簡訊動態密碼、電子郵件動態密碼、TOTP) 和 WebAuthn 以及他們使用各項服務Nulab 是 WebAuthn 的早期採用者 自 2023 年 10 月起，就已完整支援密碼金鑰。

他們導入了八項新功能：

• 密碼金鑰資訊卡
• 密碼金鑰簡介內容
• 密碼金鑰採用者獎勵
• 協助您順利復原帳戶
• 使用密碼金鑰登入
• 為密碼金鑰採用者設定 2FA
• 在憑證外洩時移除密碼及宣傳使用密碼金鑰
• 在重設密碼時升級密碼金鑰

他們示範瞭如何在黑客鬆活動中順利復原帳戶： 我們的想法，是在使用者新增 密碼金鑰。如果新增的密碼金鑰是裝置繫結，建議使用者新增其他金鑰 和其他密碼管理工具中的密碼金鑰。如果已同步處理新增的密碼金鑰， 則建議使用者移除密碼

針對透過使用者帳戶採用密碼金鑰的使用者，他們也導入了獎勵 圖示醒目顯示。使用者採用裝置繫結的密碼金鑰後，圖示就會開始 繞圈一圈。使用者採用已同步的密碼金鑰後，圖示就會開始閃爍。 由於這是企業工具，能激勵使用者在 開發出公司行號

評審對於改善密碼金鑰的創意構想留下深刻印象 特別是使用者復原帳戶的方式。

更多有趣的專案

所有參與黑客鬆活動的團隊都獲得許多有趣的構想，以下簡要介紹 ：

• Nikkei ID (Nikkei)：除了 OpenID Connect 之外，我們也導入了密碼金鑰 減少使用者遇到的不便
• Dentsu Soken (Dentsu Soken)：結合密碼金鑰與 Google 登入功能 讓使用者輕鬆上手。
• SST-Tech (安全 Sky 技術)：探索以下項目的密碼金鑰模擬： 安全性評估
• Ajitei Nekomaru (Keio University)：介紹密碼金鑰驗證功能 開放原始碼 LMS。
• MyLIXIL (LIXIL)：實現將密碼金鑰實作為 驗證的方法。

想進一步瞭解各項專案 東京密碼金鑰黑客松報告。

重點與未來

在黑客松期間，參與者會分享寶貴的意見回饋和問題， 強調對密碼金鑰的熱情和有待改進之處。 以下列舉幾個黑客鬆的重點：

• 使用者越來越有興趣搭配使用密碼金鑰與其他技術。 例如可驗證的憑證和零知識證明
• 使用者體驗仍是首要之務，因此團隊致力確保 讓密碼金鑰更容易使用和採用
• 在黑客松中，黑客松提到了密碼金鑰的潛力無窮 登入物聯網和數位身分等領域

這場活動帶來了空前的成功，激勵大家提出新想法和合作機會。阿斯 密碼金鑰的採用率較高，這類事件是推動創新的關鍵 以及解決相關問題

這對密碼金鑰是相當振奮的時刻，而東京黑客松正是證實這點 開發人員都熱切地想突破極限，致力突破極限。