近年来 我们的在线账户安全问题已经成了个大麻烦。密码泄露、网络钓鱼攻击层出不穷,用户在互联网上反复使用同一密码。在这种背景下,一种旨在彻底淘汰密码的系统——通行密钥——的出现只是时间问题。
该 Android 和其他平台上的密码登录方式已经出现,它是一种更简单、更快捷、更难破解的登录方法。因为它们将先进的加密技术与您日常生活中已经使用的技术相结合,例如指纹识别、面部识别或手机密码。如果您懒得记住复杂的密码,或者厌倦了短信验证码,那么这套系统对您来说简直是福音。
通行密钥到底是什么?为什么大家都在谈论它?
通行密钥,或称访问密钥,是 一种基于公钥和私钥加密技术的数字凭证,可取代传统密码。它不是一个需要你记住的单词,也不是一串数字:它是一个加密密钥,由你的设备生成并为你存储。
创建密码时, Android(或其他任何你使用的系统)会生成两个不同但数学上相关的密钥。:一个公钥,存储在服务服务器(谷歌、您的银行、社交网络等)上;以及一个私钥,它受到保护地保存在您的设备上,永远不会离开您的设备。
重要的区别在于: 该密钥对中的秘密部分永远不会通过互联网传输。它既不会记录在任何表格上,也不会存储在远程服务器上。整个身份验证过程都在手机、平板电脑或计算机本身上进行签名,这些设备仅共享一个经公钥验证的加密身份证明。
此外,这些通行密钥是按照标准设计的。 FIDO2 和 WebAuthn 由 FIDO 联盟和 W3C 提供支持这些人多年来一直致力于研发实体安全密钥。这意味着它具有多平台兼容性,并且安全性远高于密码。
在实践中, 对您而言,通行密钥就是“使用指纹、面部识别或密码登录”。无需输入密码或从身份验证应用程序复制代码。
通行密钥的工作原理详解
在底层,密码密钥使用 非对称密码学简单来说:有一个可以共享的密钥(公开密钥),还有一个受到严密保护的密钥(私有密钥)。只有当这两个密钥匹配时,系统才会允许你登录。
当您在兼容的服务上配置密码密钥时, 您的设备生成公钥/私钥对,并且只向服务器发送公钥。私钥存储在设备上的安全环境中,例如: Android 上的可信平台模块 (TPM), Android 加密密钥的安全性例如,苹果公司的安全隔离区或三星的 Knox 等功能,可以将设备与系统的其他部分隔离开来。
当你登录时,该服务会随机抛出一个“挑战”给你。 您的设备必须使用私钥进行签名。要使用该私钥,您首先需要使用常用方法解锁手机:指纹、面部识别、图案或 PIN 码。
当你完成那个动作时, Android 使用您的私钥对挑战进行签名,并将签名发送到服务器。它会使用已保存的公钥进行验证。如果匹配,它会确认您的身份并授予您访问权限,而您的私钥不会离开您的手机。
另外, 通行密钥与特定域或应用程序相关联。 它们正是为此而创建的。也就是说,您用于“accounts.google.com”的访问密钥无法在像“account-google.com”这样的虚假域名上使用,这使得它们能够抵御网络钓鱼攻击。
Android 上的 Passkeys:要求、同步和生态系统
在安卓系统中,密码已集成到操作系统本身中。 它们通过 Google 密码管理器进行管理。 和其他 Android 密码管理器 它们类似于密码,但安全性更高。如果您的手机运行的是 Android 9 或更高版本,您现在就可以在兼容的服务上使用它们了。
当你在谷歌帐户或其他允许创建密码的网站上创建密码时, 私钥存储在设备的安全硬件内。公钥会发送到服务服务器,而 Android 会自动处理所有这些操作,无需您进行任何技术输入。
另一个重要的优势是,如果您在多个设备上使用您的 Google 帐户, 这些通行密钥可以通过云端安全地相互同步。这意味着您可以通过手机、平板电脑或笔记本电脑登录您的 Google 帐户,而无需在每台设备上创建单独的密钥。
当你登录电脑时, 您可以通过扫描二维码,使用手机上创建的密码进行通行。 浏览器会显示相关信息。手机会与电脑通信(例如通过蓝牙),并在您使用常用方法解锁设备后完成该过程。
谷歌也提供了以下选项: “尽可能跳过密码步骤”激活此功能后,登录帐户时系统将直接提示使用通行密钥,而不是要求输入传统密码。
目前哪些用户正在使用密码密钥?密码密钥适用于哪些设备?
通行密钥并非遥不可及的未来愿景: 大型企业和各种类型的服务机构都已经采用了这些技术。 作为一种登录选项,尤其适用于个人账户。
在操作系统方面, 苹果、谷歌和微软都已将密码功能集成到各自的生态系统中。在 iOS 和 macOS 上,它们存储在 iCloud 钥匙串中;在 Android 上,它们由 Google 密码管理器管理;在 Windows 上,它们依赖于 Windows Hello。
在浏览器层面, 最新版本的 Chrome、Safari、Edge 和 Firefox(尽管 Firefox 的支持较为有限) 只要操作系统满足最低要求,它们就允许在台式机和移动设备上使用密码。
在网络服务领域, 目前已经出现了像谷歌、GitHub、Dropbox、PayPal、亚马逊、一些金融科技公司、社交网络和电子商务企业这样的巨头。 他们提供创建账户访问密钥的服务。事实上, Facebook 采用了密码锁 而且这个名单每隔几个月就会增加。
即使在大学或公司等较为封闭的环境中, 设备关联密码正通过 Microsoft Authenticator 等应用程序进行部署。它允许您通过手机登录公司门户网站而无需使用密码,同时保持非常严格的安全策略。
通行密钥类型:已同步且已关联到设备
在密码的世界里,我们可以区分 两个大家庭,取决于它们的管理方式以及允许对它们进行哪些处置。:多设备(或同步)和连接到单个设备的设备。
多设备密码是 那些以加密形式同步到你所有手机、平板电脑和个人电脑上的数据。 通过您的云账户(Google、Apple 或 Microsoft,具体取决于您使用的生态系统)。它们非常适合个人用户,因为它们能大大简化操作。
有了这个模型, 如果您在安卓手机上创建了密码,也可以在平板电脑或笔记本电脑上使用它。 无需逐个注册新密钥。您只需使用同一帐户登录,且服务必须兼容即可。
另一方面,还有与设备关联的密码,也称为 设备绑定在这种情况下,访问密钥与单个移动设备或物理安全密钥相关联; 它不会被导出或复制到云端。.
这种方法在企业环境中非常流行,因为 它可以防止工作凭证被随意复制到个人设备上。如果你的手机丢失了,你也丢失了密码,但公司可以以可控的方式强制执行新的访问方式。
通行密钥相对于密码的优势
如果我们从用户体验的角度来看,密码密钥提供了 两大显而易见的优势:更高的安全性和更舒适的体验而且他们这样做并不会强迫你改变手机解锁方式。
就安全性而言,这是一次巨大的飞跃: 通行密钥从设计上就具备防钓鱼功能。由于每个密钥只能用于特定的域名或应用程序,即使您点击了恶意链接,系统也不会允许您在该虚假网站上使用该密钥。
此外,由于它基于公钥/私钥密码学, 服务数据库中不存在可以泄露的“密码”。攻击者最多只能获得公钥,但这本身并不足以访问您的帐户。
从可用性的角度来看, 你忘记创建、记住和更改密码。要登录,只需使用您已用于解锁设备的指纹、面部或 PIN 码即可,这大大降低了注册和登录表单的放弃率。
另一个重要的一点是 Passkeys有效地将多因素身份验证 (MFA) 集成到单个手势中您可以使用自己拥有的东西(设备)和您知道的东西(生物识别信息或 PIN 码),而无需输入额外的代码或查看短信。
目前通行密钥的缺点和局限性
然而,无论它们听起来多么有吸引力, 通行密钥尚不完善,而且也不是在互联网的每个角落都能找到。在做出决定之前,有一些因素需要考虑。
第一个障碍是…… 收养仍处于部分阶段许多重要服务已经支持这些功能,但并非所有服务都支持。在相当长的一段时间内,我们将不得不同时使用密码、验证码和访问密钥。
另一个微妙的点是 丢失所有设备后如何恢复帐户如果你的手机和平板电脑上只有同步的密码,而这两台设备都被盗了,那么根据服务的不同,如果没有备份方法,恢复访问权限可能会比较复杂,也可能比较容易。
另外, 依赖于特定的生态系统,例如 iCloud、Google 密码管理器或 Microsoft Keychain。 这可能会限制那些试图避开这些服务或使用混合系统的人。
还有一个小 对于技术水平较低的用户来说,学习曲线较为平缓这些功能最初可能会与名称、浏览器消息或“使用移动设备登录”的概念混淆。但是,使用几次之后,这个过程通常比使用密码更直观。
通行密钥与传统密码、双因素身份验证 (2FA) 和多因素身份验证 (MFA)
密码已经存在几十年了。 网络安全中最薄弱的环节它们在多处重复出现,选择不当,用显眼的注释加以说明,并且不断出现大规模泄漏。
尽管建议使用密码管理器,并通过代码应用程序或物理密钥启用双因素身份验证, 现实情况是,大多数人都不会这样做。 或者他们会厌倦繁琐的步骤。而密码密钥正是为了简化流程,同时又不降低安全性而设计的。
如果我们进行比较, 每个通行密钥都经过精心设计,本身就具有很强的安全性。无需担心它是否包含大写字母、数字或符号。它无法从字典中猜到,也不基于个人数据。
与通过短信或电子邮件发送的双重验证码相比, 通行密钥不依赖于移动网络,也不容易被拦截。它们也不会强迫你切换应用程序。所有操作都在设备本身完成,而且只需几秒钟。
其实 通行密钥已经包含了一种“隐形多因素身份验证”。因为它结合了你拥有的东西(私钥所在的设备)和你用来解锁它的东西(生物识别或 PIN 码),但又不会给用户增加繁琐的步骤。
如何在安卓设备上创建和使用谷歌帐户的密码
如果你想开始尝试它们, Google 是测试 Android 密码的最佳场所之一。因为其支持服务非常完善,并已融入到所有服务中。
要激活 Google 帐户中的访问密钥,您只需: 访问您的帐户设置并转到安全部分在那里您会看到“访问密钥”或“密码”选项,您可以从中创建一个新的密钥。
向导会要求你 使用当前密码确认您的身份,然后选择要生成通行密钥的设备。如果你用手机操作,系统会使用你的解锁方式(指纹、面部或PIN码)完成解锁过程。
从那一刻起,每次你在该设备上登录你的谷歌账号时, 您可以使用密码密钥登录,而无需输入密码。在许多情况下,浏览器会直接建议使用该密钥。
如果你丢失了那部手机或者停止使用那部手机, 建议您使用另一台设备登录您的谷歌账号,并删除与丢失手机关联的密钥。这样可以确保任何知道您的PIN码或能够使用生物识别技术的人都无法直接访问您的账户。
企业和教育环境中的密码锁
虽然我们通常谈到密码时想到的是个人账户, 各组织也纷纷加入这一行列。 因为它为他们提供了一种非常有效的方法来保护敏感访问权限。
例如,在使用 Microsoft 365 或 Azure AD 的公司或大学中, 使用 Microsoft Authenticator 应用配置密码密钥是一种常见的做法。这些通行密钥通常是设备绑定的,这意味着它们仅与创建它们的手机相关联。
这意味着, 如果手机丢失,密码将无法同步到其他设备。这乍看之下可能有些不便,但却能最大限度地提高安全性。用户可以使用其他验证方式(例如国家颁发的数字身份系统或临时代码)重新配置不同的密码。
在这些情况下,建议的做法是 拥有多个已配置密码的设备 (例如,一部手机和一台工作平板电脑),这样即使其中一部出现故障,你仍然有其他访问途径,不会被阻塞。
从安全控制台, 管理员可以查看并撤销与每个帐户关联的密码。与传统的MFA方法一样,这允许您从不再使用或丢失的设备中删除访问密钥。
如果我丢失了手机或者不再想使用密码怎么办?
最常见的问题之一是 如果存放密码的设备丢失,密码会怎么样? 或者它被盗了。答案取决于通行密钥的类型和服务。
如果是通过谷歌、苹果或微软同步的访问密钥, 他们的想法是,当您使用主帐户在新设备上登录时,可以恢复这些帐户。前提是您拥有有效的恢复方法(密码、验证码、双因素身份验证等)。
如果通行密钥与单个设备绑定(例如在身份验证器中的某些实现中), 它不会自动转移,您需要创建一个新的。 当你通过其他方式重新获得账户访问权限时。
总之,如果你丢失了手机,重要的是: 使用另一台设备登录,并删除与该手机关联的访问密钥。 从受影响服务的安全设置中获取。
最后,如果您仍然对该系统不满意,或者更喜欢继续使用密码, 在大多数平台上,您可以禁用优先使用密码的选项。 恢复使用经典密码作为主要登录方式,只将访问密钥作为辅助因素。
Passkeys 的出现旨在解决密码多年来存在的诸多问题,它结合了多种技术。 强大的加密技术、生物识别认证和非常简单的用户体验虽然它们仍然与传统密码并存,而且并非所有服务都支持它们,但谷歌、苹果、微软和主要网络平台对它们的采用清楚地表明了登录的未来发展方向,而安卓已成为开始每天使用它们而不会使事情变得复杂的最佳平台之一。
