密码太麻烦了。人们一遍又一遍地使用相同的不安全密码,却仍然会忘记它们,这使得大型科技公司在保护账户和数据方面面临挑战。即使有人使用了足够长且足够复杂的密码——比如他们拥有密码管理器——这些密码仍然容易受到网络钓鱼等社会工程攻击的侵害。总而言之,密码是一种糟糕的数据保护系统,无法保护个人数据、敏感信息以及你的狗狗照片——这就是为什么苹果、谷歌、微软以及FIDO Alliance的其他成员如此热衷于用一种名为“无密金钥”的方法来取代它们。而且他们现在正在这么做。
本周,谷歌宣布将为 Android 和 Chrome 带来无密金钥支持——至少是在其最新的测试版软件中。如果你加入了Google Play 服务测试版或Chrome Canary 频道,你现在就可以使用它们登录支持此功能的网站。谷歌表示,今年晚些时候它们将进入稳定版,并且 2022 年的下一个里程碑是发布一个 API(应用程序编程接口),以允许原生 Android 应用支持它们。
谷歌在其产品中支持无密金钥是实现广泛采用的重要一步。苹果已在 iPhone 的 iOS 16 中开始支持无密金钥,并且将在今年晚些时候通过 macOS Ventura 在 Mac 上支持它们。一旦谷歌将它们添加到 Android 和 Chrome 中,两个最受欢迎的移动平台和两个最受欢迎的浏览器都将支持它们。这意义重大。
无密金钥使用公钥加密来创建比密码更安全的身份验证协议。当你使用无密金钥注册新账户时,你的设备将创建一个密钥对——一个与服务共享的公钥,以及一个私钥,该私钥将安全地存储在你的生物识别数据或 PIN 码后面。
[相关:苹果的无密金钥可能比密码更好。以下是它们的工作原理。]
由于底层的数学原理,公钥可以公开,正如其名称所示。即使网站被黑客攻击并泄露在数据泄露中或在社交媒体上共享,它也不足以登录你的帐户。它只允许网站验证你的设备是否保存了正确的私钥。
该系统设置为所有用户验证都由你的设备处理。这意味着你的私钥永远不会通过互联网传输,这使得无密金钥基本上不可能被网络钓鱼或盗取。取而代之的是,会发送一个临时的单次使用令牌,告知网站你拥有正确的私钥。这真是一个很棒的系统。
[相关:苹果、谷歌和微软联手推出新的无密码技术]
但也许无密金钥最好的地方不在于它们更安全,而在于它们使用起来更加方便。在宣布无密金钥支持的博文中,谷歌解释了你如何仅通过指纹、面部或屏幕锁定代码即可创建无密金钥或登录账户——这真的只需要两步。你无需担心想出长串代码或添加必需的特殊符号。你也不必记住它们——它们将通过Google 密码管理器在你的设备之间自动同步。基本上,用户体验将类似于自动填充密码——但更好、更可靠。
而且,由于无密金钥是行业标准,你还可以使用手机登录附近的设备,无论它们运行的是什么操作系统。例如,如果你需要使用朋友的 Mac 打印东西,你只需在 Android 手机上扫描一个二维码,即可在 Safari 中登录你的 Gmail 帐户。真的,长久以来寻求的无密码未来即将到来——而且看起来很美好。
