我如何用更安全、更簡單的替代方案取代密碼

我如何用更安全、更簡單的替代方案取代密碼

一段時間以來,我不再使用密碼登入我的Google和微軟帳號了。我只需輸入我的電子郵件地址,然後輸入我在 Windows 電腦上使用的 PIN 碼。輸入正確的 PIN 碼後,我就能輕鬆訪問,無需記住或輸入冗長複雜的密碼。

這就是金鑰提供的無縫體驗,相較於容易被網路釣魚攻擊破解或輕易遺忘的傳統密碼,它增強了安全性。事實證明,從密碼過渡到密鑰對我來說是一個有益的轉變,我現在非常欣賞它們帶來的更高安全性。

定義密鑰:密碼的更佳替代方案

加密握手背後的機制

Google 登入畫面要求輸入密碼
圖片來源 – 自行拍攝(Tashreef Shareef)– 無需署名

密鑰是傳統密碼的數位替代品,它利用公鑰加密技術,而不是依賴記憶的字元序列。在為特定網站建立金鑰後,您的裝置會產生兩個相互關聯的金鑰。公鑰會傳送到服務,而私鑰則會安全地保留在您的裝置上—利用 Windows Hello 中的可信任平台模組 (TPM) 晶片或智慧型手機上的安全區域。

密鑰的獨特優勢在於其無法被欺騙;它們僅在指定網站上有效。即使您不小心造訪了模仿 Gmail 的釣魚網站,您的裝置也會拒絕洩露私鑰,從而成功將其識別為詐騙網域。因此,不會發生密碼或憑證洩露,從而導致登入嘗試失敗,且不會有遭受釣魚攻擊的風險。

密鑰解決了傳統登入方法面臨的兩大關鍵挑戰。首先,金鑰會在使用金鑰前驗證域名,以驗證您正在造訪的是合法網站,從而有效阻止網路釣魚攻擊。其次,金鑰會產生一次性加密簽名,而非重複使用密碼,從而安全地確認您的身分。

即使設備遺失,金鑰也能確保安全

為同一帳戶使用多個金鑰

OnePlus 13 上的超音波指紋感應器圖標
攝影:Justin Duino / MakeUseOf

關於密鑰,一個經常讓人困惑的問題是設備遺失後密鑰的功能。重要的一點是,丟失智慧型手機或筆記型電腦並不意味著帳戶被鎖定,因為每台設備都保留了其唯一的密鑰。即使手機遺失,您仍然可以使用其特定的金鑰在其他裝置上登錄,或在必要時恢復到您的帳戶密碼。

如果您的裝置被盜,沒有必要的生物辨識身分驗證或 PIN 碼,您將無法存取金鑰。此外,您可以透過帳戶設定管理所有已註冊的金鑰,從而撤銷任何遺失或被盜裝置的存取權限。

一旦您獲得新設備,您只需透過另一個受信任的設備進行身份驗證或使用密碼等備份方法為您的帳戶建立新的金鑰。

建立並安全儲存金鑰

在各種平台上入門

若要讓您的 Windows 電腦使用密碼,請啟用 Windows Hello。如果您目前使用 PIN 碼或指紋掃描儀,則可能已啟動。否則,請前往「設定」>「帳戶」>「登入選項」來設定生物辨識登入方式。當網站允許建立密碼時,Windows Hello 將自動管理安全儲存。

在運行 Android 9 或更高版本的裝置上,金鑰會自動儲存到 Google 密碼管理器,並在連結到同一 Google 帳戶的所有裝置上同步。 Android 14 現在支援與第三方密碼管理器集成,方便用戶使用專門的安全工具。

Apple 進一步簡化了這個流程,將金鑰儲存在 iOS 和 macOS 裝置上的 iCloud 鑰匙圈中,確保所有 Apple 裝置同步。請確保您的 Apple ID 已啟用雙重認證,以實現無縫功能。

iCloud 鑰匙圈下的密碼欄出現密碼輸入提示
截圖來自 Adaeze Uche

為了實現跨平台相容性,請考慮使用密碼管理器,例如 1Password、Bitwarden 或 Dashlane,它們現在支援金鑰管理。無論使用哪種設備,這都提供了一種統一的金鑰管理方法。

我個人更傾向於原生平台解決方案,因為我主要在 Windows 和 Android 系統上運行。不過,對於經常在 Windows、Mac、iPhone 和 Android 等不同生態系統之間切換的使用者來說,使用密碼管理器也非常實用。

建立密鑰的步驟

許多支援金鑰的網站會在您使用密碼登入後自動為您提供建立金鑰的選項。

如果沒有提示,您可以前往相應網站的帳戶設置,找到「安全性」部分,手動建立金鑰。例如,要為您的 Google 帳戶建立密鑰,請導航至g.co/passkeys,點擊「建立密鑰」,然後按照概述的步驟操作。

目前對密鑰的支持

各大平台的廣泛採用

顯示 Windows Hello 對話方塊的 Google 金鑰標誌
攝影:Tashreef Shareef / MakeUseOf

包括Google、微軟、蘋果、亞馬遜、Adobe 和 Meta(包括 Facebook 和 Instagram)在內的眾多主流網站都已啟用金鑰。我個人已在我的 Google Workspace、微軟帳戶甚至 PayPal 上實現了金鑰。每次登入時,我都會選擇使用金鑰並透過 PIN 碼進行身份驗證。

不同服務的體驗可能略有不同。例如,Google 允許使用者切換到使用金鑰進行日常登錄,並可選擇移除密碼(如果需要)。然而,某些服務仍需要保留密碼作為替代方案。目前,所有主流平台都允許為新帳戶建立密碼,但一旦設定了金鑰,密碼就變得不再那麼重要了。

金鑰的持久未來

擁抱無密碼登入

雖然金鑰的採用正在逐漸普及,但許多網站仍處於過渡的早期階段。然而,一旦密鑰可用,登入體驗將顯著便捷。需要注意的是,建立新帳戶仍然需要密碼,並且密碼可作為從不支援的裝置登入或金鑰出現問題時的備用選項。

這表明,雖然密碼尚未消失,但為了相容性、恢復功能以及尚未現代化的服務,它們仍將存在。然而,對於日常存取而言,避免密碼輸入的便利性和增強的網路釣魚威脅防護,凸顯了使用金鑰是一個明智的選擇。

來源和圖片

相關文章:

Google Tables 工作追蹤應用程式將在五年後關閉
Steam 存取 Windows 核心安全嗎?了解原因和影響

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *