我如何用更安全、更简单的替代方案取代密码

我如何用更安全、更简单的替代方案取代密码

一段时间以来,我不再使用密码登录我的谷歌和微软账户了。我只需输入我的电子邮件地址,然后输入我在 Windows 电脑上使用的 PIN 码即可。输入正确的 PIN 码后,我就能轻松访问,无需记住或输入冗长复杂的密码。

这就是密钥提供的无缝体验,相比容易被网络钓鱼攻击破解或轻易遗忘的传统密码,它增强了安全性。事实证明,从密码过渡到密钥对我来说是一个有益的转变,我现在非常欣赏它们带来的更高安全性。

定义密钥:密码的更佳替代方案

加密握手背后的机制

Google 登录屏幕要求输入密码
图片来源 – 自己拍摄(Tashreef Shareef)– 无需署名

密钥是传统密码的数字替代品,它利用公钥加密技术,而非依赖于记忆的字符序列。在为特定网站创建密钥后,您的设备会生成两个相互关联的密钥。公钥会发送到服务,而私钥则会安全地保留在您的设备上——利用 Windows Hello 中的可信平台模块 (TPM) 芯片或智能手机上的安全区域。

密钥的独特优势在于其无法被欺骗;它们仅在指定网站上有效。即使您不小心访问了模仿 Gmail 的钓鱼网站,您的设备也会拒绝泄露私钥,从而成功将其识别为欺诈域名。因此,不会发生密码或凭据泄露,从而导致登录尝试失败,且不会存在遭受钓鱼攻击的风险。

密钥解决了传统登录方法面临的两大关键挑战。首先,密钥会在使用密钥前验证域名,以验证您正在访问的是合法网站,从而有效阻止网络钓鱼攻击。其次,密钥会生成一次性加密签名,而非重复使用密码,从而安全地确认您的身份。

即使设备丢失,密钥也能保证安全

为同一帐户使用多个密钥

OnePlus 13 上的超声波指纹传感器图标
摄影:Justin Duino / MakeUseOf

关于密钥,一个经常让人困惑的问题是设备丢失后密钥的功能。重要的一点是,丢失智能手机或笔记本电脑并不意味着账户被锁定,因为每台设备都保留了其唯一的密钥。即使手机丢失,您仍然可以使用其特定的密钥在其他设备上登录,或者在必要时恢复到您的账户密码。

如果您的设备被盗,没有必要的生物识别身份验证或 PIN 码,您将无法访问密钥。此外,您可以通过账户设置管理所有已注册的密钥,从而撤销任何丢失或被盗设备的访问权限。

一旦您获得新设备,您只需通过另一个受信任的设备进行身份验证或使用密码等备份方法为您的帐户创建一个新的密钥。

创建并安全存储密钥

在各种平台上入门

要让您的 Windows 电脑使用密码,请启用 Windows Hello。如果您当前使用 PIN 码或指纹扫描仪,则可能已激活。否则,请前往“设置”>“帐户”>“登录选项”来设置生物识别登录方式。当网站允许创建密码时,Windows Hello 将自动管理安全存储。

在运行 Android 9 或更高版本的设备上,密钥会自动保存到 Google 密码管理器,并在链接到同一 Google 帐户的所有设备上同步。Android 14 现在支持与第三方密码管理器集成,方便用户使用专门的安全工具。

Apple 进一步简化了这一流程,将密钥存储在 iOS 和 macOS 设备上的 iCloud 钥匙串中,确保所有 Apple 设备同步。请确保您的 Apple ID 已启用双重认证,以实现无缝功能。

iCloud 钥匙串下的密码栏中出现密码输入提示
截图来自 Adaeze Uche

为了实现跨平台兼容性,请考虑使用密码管理器,例如 1Password、Bitwarden 或 Dashlane,它们现在支持密钥管理。无论使用哪种设备,这都提供了一种统一的密钥管理方法。

我个人更倾向于原生平台解决方案,因为我主要在 Windows 和 Android 系统上运行。不过,对于经常在 Windows、Mac、iPhone 和 Android 等不同生态系统之间切换的用户来说,使用密码管理器也非常实用。

创建密钥的步骤

许多支持密钥的网站会在您使用密码登录后自动为您提供创建密钥的选项。

如果没有提示,您可以前往相应网站的账户设置,找到“安全”部分,手动创建密钥。例如,要为您的 Google 账户创建密钥,请导航至g.co/passkeys,点击“创建密钥”,然后按照概述的步骤操作。

目前对密钥的支持

各大平台的广泛采用

显示 Windows Hello 对话框的 Google 密钥标志
摄影:Tashreef Shareef / MakeUseOf

包括谷歌、微软、苹果、亚马逊、Adobe 和 Meta(包括 Facebook 和 Instagram)在内的众多主流网站都已启用密钥。我个人已在我的 Google Workspace、微软账户甚至 PayPal 上实现了密钥。每次登录时,我都会选择使用密钥并通过 PIN 码进行身份验证。

不同服务的体验可能略有不同。例如,Google 允许用户切换到使用密钥进行日常登录,并可选择移除密码(如果需要)。然而,某些服务仍然需要保留密码作为替代方案。目前,所有主流平台都允许为新账户创建密码,但一旦设置了密钥,密码就变得不再那么重要了。

密钥的持久未来

拥抱无密码登录

虽然密钥的采用正在逐渐普及,但许多网站仍处于过渡的早期阶段。然而,一旦密钥可用,登录体验将显著便捷。需要注意的是,创建新帐户仍然需要密码,并且密码可作为从不受支持的设备登录或密钥出现问题时的备用选项。

这表明,虽然密码尚未消失,但为了兼容性、恢复功能以及尚未实现现代化的服务,它们仍将存在。然而,对于日常访问而言,避免密码输入的便利性和增强的网络钓鱼威胁防护,凸显了使用密钥是一个明智的选择。

来源和图片

相关文章:

Google Tables 工作追踪应用将在五年后关闭
Steam 访问 Windows 内核安全吗?了解原因和影响

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注