建议、员工推荐、揭秘等等。让我们来帮助你。
发布于2023年1月11日
订阅 Wirecutter 的通讯 以获取独立评测、专家建议和最佳优惠,直接发送到你的收件箱。
想要想出新密码,然后将它们组织起来并保持安全,即使使用密码管理器也很麻烦。但是苹果、谷歌和微软正在共同努力支持一种新的登录方式,让人们在登录账户时完全不需要使用密码。他们的解决方案被称为通行密钥,虽然这种新的登录方法还没有普及,但现在已经开始推出了,并承诺让在线创建新账户和安全登录它们变得更加容易。以下是你需要了解的内容。
在现实世界中使用通行密钥的系统还在不断发展,但其目标是让你能够以与解锁手机相同的方式登录每个账户,即使用生物特征或PIN码。最好将通行密钥视为“密码2.0”---通行密钥在功能上与你习惯的用户名和密码组合是相同的,只是没有实际密码。相反,你拥有的每个账户都与设备上的一个密钥相关联,例如 iPhone 或 Android 手机。
在技术层面上,你的设备使用所谓的非对称加密(或公钥加密)来注册一个公共“密钥”,然后将其存储在你拥有账户的网站上,同时在你的设备上仅存储一个私钥;你的设备为你注册的每个网站创建一个新的私钥。当你登录网站时,它会与你的设备进行验证,以查看这两个密钥是否匹配。为了授予网站访问该密钥的权限,你必须使用用于解锁你的设备的任何手段进行身份验证,例如指纹、面部或PIN码。如果你在创建通行密钥的设备之外的设备上登录---比如,在 Windows 笔记本电脑上登录你在 iPhone 上创建的账户的通行密钥---创建通行密钥的设备需要与你用于登录的设备在物理上靠近,系统通过扫描二维码和使用低功耗蓝牙进行检查。
所有这些听起来很复杂,但最终目标是,使用通行密钥登录的体验应该比使用用户名和密码更容易,并且几乎像使用信用卡购物一样工作,正如 Yubico 的解决方案架构和联盟副总裁 Derek Hanson 所说:“在任何地方,体验都是差不多的”。
通行密钥基于主要技术公司开发的标准。苹果、谷歌和微软与其他科技巨头一起,与 FIDO 联盟合作开发通行密钥,这是基于所谓的WebAuthn 标准。为了使用通行密钥,你不需要记住其中任何内容。重要的是,通行密钥应该在各个平台上基本上工作相同,并且将在未来几年得到支持。微软的身份安全总监 Alex Weinert 表示:“标准等于安全”。他补充说,标准提供的审查也使公司对通行密钥的广泛采用更有信心。
通行密钥解决了密码的两个最大问题:数据泄露和网络钓鱼。通行密钥不像密码经常被重复使用在各个网站上,所以被盗的凭据造成的损害较小。 如果您丢失了手机或笔记本电脑会发生什么?
如果您丢失了存储着您的通行密钥的设备,您将无法再使用该通行密钥登录您的账户。这意味着您将无法访问与该账户相关的网站和应用程序。因此,您需要采取一些措施来保护您的设备和通行密钥,以防止丢失或被盗。
一种方法是启用设备的安全功能,例如密码锁屏、指纹识别或面部识别。这样,即使有人获得了您的设备,他们也无法轻易访问您的通行密钥。
另一种方法是备份您的通行密钥。某些服务提供商允许您在多个设备上保存通行密钥,这样即使您丢失了一个设备,您仍然可以使用其他设备登录。您可以在设置中查找有关如何备份和恢复通行密钥的详细信息。
如果您丢失了设备并且无法访问您的通行密钥,您可能需要联系相关的网站或应用程序的支持团队。他们可能会要求您提供其他身份验证信息以证明您是账户的合法所有者,并帮助您恢复访问权限。
总之,为了避免因丢失设备而无法访问账户,您应该采取预防措施,例如启用设备的安全功能和备份通行密钥。 在设备系列中,密码将与设备使用的云存储方法同步,例如Mac和iPhone上的iCloud Keychain,或Android和ChromeOS上的Google密码管理器,因此如果您丢失设备,密码将存储在那里,并且您可以将密码恢复到新设备上。由于密码是端到端加密的,因此像苹果或谷歌这样的公司无法访问它们。
如果您需要在某些账户上获得更高级别的安全性,使用物理安全密钥(不与在线同步)可能比使用移动设备更好。
例如,如果您在iPhone上创建了一个密码,然后想在另一台设备上使用该密码,比如Windows笔记本电脑,在第二台设备的屏幕上,您将看到一个扫描QR码的提示,您可以使用iPhone来扫描;一旦您批准登录,您就可以继续使用。这种方法被称为多设备认证。
然而,如果您要永久切换,比如从iPhone迁移到Android手机,该过程目前尚不清楚。目前,您无法将密码从一个平台转移到另一个平台,但这是公司正在努力解决的问题。负责Android的Google产品管理总监Mark Risher表示,Google正在与FIDO联盟合作设计在平台之间传输凭据的方法:“特别是关于传输方面,这对我们来说是首要任务,因此我们正在探索一些允许可移植性但不会为攻击者打开新渠道的选项。”
在iOS上,您可以通过AirDrop共享密码。比如,如果Netflix突然改用密码,只要他们也是iPhone用户,您仍然可以与家人共享您的账户。谷歌没有回应我们关于如何处理Android用户的这个问题的请求。
密码并不一定会取代密码管理器。在每个网站都支持密码之前,还需要很长时间,所以在未来几年内,您仍然需要传统密码。但是,1Password和Dashlane都宣布支持密码,并且其他密码管理器可能会效仿。1Password的计划似乎很全面,该公司不仅允许您将密码存储在其密码管理器中,以便轻松在不同设备上访问它们并与家人共享,而且还正在开发工具,使您可以将密码导出到其他密码管理器(如果您离开1Password服务)。如果实施得当,密码管理器可以在生态系统之间提供更好的密码可移植性,而不是操作系统级别的选项。
对于您更关心执法部门获得对您设备的物理访问的情况,密码提供了对您使用的服务的在线攻击的出色保护,但情况变得复杂起来。
您设备的密码或PIN码(或应该)存储在您的大脑中。在美国,第五修正案赋予人们不作自证人的权利,当执法部门试图让嫌疑人解锁设备时,通常会援引该权利。使用面部或指纹解锁设备可能不总是符合第五修正案的保护范围,电子前沿基金会的律师安德鲁·克罗克表示,到目前为止,“法院对使用密码解锁设备给予了更多第五修正案的保护。”克罗克还补充说,密码可能会受到类似的保护。 Crocker还指出,尽管搜查令授权访问手机的内容,但这并不意味着执法部门有权搜索手机上存储的网站账户的内容,仅仅因为该网站的密码存储在手机上。例如,搜查手机的搜查令并不授权警方搜索你的Facebook账户,仅仅因为你在手机上安装了Facebook应用程序。但是由于密码的工作方式,这种情况仍然可能存在问题。由于你同时为手机和每个服务使用相同形式的授权,如果执法人员能够访问你的设备,他们也可能获得对相关服务的访问权限,即使他们没有合法授权进行此类访问。
如果你担心执法部门可能访问你的设备,EFF建议使用PIN码而不是生物识别解锁。由于密码也支持PIN码,它们应该具有相同的保护措施。将你的密码存储在物理安全密钥上可能是另一种解决方案,因为你可以随时将该安全密钥留在家里。
密码登录功能在许多网站上还不可用,各平台仍在逐步推出支持。以下是你目前可以使用密码登录的方式和位置:
1Password列出了一些已添加密码支持的网站,还包括百思买和Kayak。如果你想了解密码的工作原理,而又不想在真实登录中进行尝试,可以访问由安全公司Hanko创建的这个演示网站。
密码登录功能将需要一段时间才能普及,但专家预测它们是未来的趋势。登录过程将随着时间的推移标准化,预计在接下来的一年左右,密码登录将更加无缝地实现。当它们正常工作时,感觉有点像魔法:登录过程流畅快捷,账户创建比使用用户名和密码更简便。尝试使用密码登录没有任何实质性的缺点,如果你愿意忍受一些疑难解答,你将处于这种不可避免的变革的前沿。
本文由Caitlin McGarry和Signe Brewster编辑。