首个放弃主密码的密码管理器：Dashlane

本周三，最安全的密码管理器之一Dashlane宣布将放弃使用主密码，为用户提供完全无密码的体验。 Dashlane称该功能允许新用户创建帐户，而无需设置和记住主密码。它还补充说，计划在 2024 年将无密码选项扩展到现有用户。

“Dashlane 是第一个消除主密码的密码管理器。这意味着我们为用户提供了无密码创建帐户并登录的选项。”Dashlane 首席技术官 Frederic Rivain 说道。

“还需要注意的是，我们的无密码方法与基于 WebAuthn 的密钥不同，”Rivain 补充道：“虽然 Dashlane 允许用户使用密钥（存储在用户设备上的加密凭证）创建、保存和登录 Google、Amazon、GitHub 和 Kayak 等网站，并在所有设备上支持它们，但它们不用于加密 Dashlane 应用程序保管库中的数据。 这是因为访问 Dashlane 不仅涉及身份验证，还涉及通过在设备上本地解密您的保管库来访问您的数据。”

一键式解决方案中的三个 MFA 因素
网络安全咨询公司 Allegro Solutions 首席执行官 Karen Walsh 指出，通过此次公告，Dashlane 将两种方法结合在一起，以降低身份和访问级别的风险。首先，Dashlane正在使用生物识别技术消除密码。 “大多数无密码解决方案都使用 FIDO2，该协议结合了‘你拥有的东西’和‘你是谁’的多因素身份验证要求。通过将用户的人脸识别ID 或指纹与用户控制的设备相结合，并删除经常存在风险的密码，Dashlane 实质上将所有三个 MFA 因素纳入一键式解决方案中。”

Walsh补充道，Dashlane还采用了零知识加密。 “一旦用户在其设备上创建任何信息，数据就会被加密并保持这种状态，这意味着即使 Dashlane 遇到数据泄露，他们也没有未加密的客户信息。通过结合这两种技术，Dashlane试图应对越来越多的针对密码管理器的攻击方式，最终减轻他们自己和客户的风险。”

社会可能永远无法完全摆脱密码
尽管 Dashlane 宣称其无密码架构“能够抵御网络钓鱼”，但全球 IT 服务公司 Open Systems 的安全布道者 Craig Harber 警告称，该技术并不是对抗威胁行为者的灵丹妙药。他说：“要使这项技术成为所有操作场景中的可行选择，必须缓解一些安全问题，特别是考虑到人工智能生成的深度伪造技术的进步可能会击败生物识别技术的进步。”

除了解除主密码之外，Dashlane 还宣布了一种正在申请专利的方法，可以在设备之间安全地传输解密密码库所需的密钥，从而实现无缝的跨平台使用。 “跨平台同步允许用户通过安全密钥交换在其设备上无缝访问 Dashlane密码库，”Rivain 解释道。

“为了确保跨平台密钥交换顺利进行，我们开发了设备传输方法，以确保我们的所有三个核心平台——iOS、Android、Web 扩展——都可以利用一致且兼容的加密机制，”Rivain 说。 “为了保护数据并保护此过程，我们利用椭圆曲线 Diffie-Hellman (ECDH) 来执行密钥交换。”

尽管替代方案不断涌现，但 Rivain 承认密码在用户中仍然很受欢迎。 “无密码方案是正确的方向，在过去 18 个月里，提供无密码解决方案（例如密钥）的网站和服务的速度比我们许多人预期的还要快，”他说。 “还有许多用例有待扩展，包括跨平台兼容性、共享、企业使用和遗留的本地解决方案。社会可能永远不会完全摆脱密码，但从长远来看，密码的使用将会广泛减少。”