无密码的未来正徐徐成为现实。本周,谷歌宣布,您现在可以使用通行密钥登录您的谷歌账户。这在承诺将漫长而尴尬的放弃使用密码以实现安全的过程中,是一个巨大的里程碑。
万一您还没听说过,密码非常糟糕。人们一开始就喜欢设置糟糕的密码,发现它们很难记住,然后甚至不会正确使用它们。当有人被黑客攻击时,可能只是因为有人使用了(或重复使用了)一个非常糟糕的密码,或者不小心将其泄露给了诈骗者。为了尝试解决这些棘手的问题,一个行业组织——包括苹果、谷歌和微软——称为FIDO联盟,开发了一个名为通行密钥的系统。
通行密钥是使用所谓的WebAuthentication(或WebAuthn)标准和公钥密码学构建的。这与端到端加密消息应用程序的工作方式类似。您无需创建密码,而是由您的设备生成一对独特的、数学上相关的密钥。其中一个公钥存储在服务提供商的服务器上。另一个私钥则安全地保存在您的设备上,最好是锁定在您的生物识别数据(如指纹或面部扫描)后面,尽管该系统也支持 PIN 码。
[相关:微软允许您放弃密码。方法如下。]
由于密钥在数学上是相关的,因此网站或应用程序可以让您的设备验证您拥有匹配的私钥,并 issuing a one-time login,而无需实际知道您的私钥是什么。这意味着账户信息无法被盗取或钓鱼,而且由于您无需记住任何内容,登录非常简单。
以谷歌最近的实施为例。一旦您设置了通行密钥,您就可以通过输入您的电子邮件地址并扫描指纹或面部来登录您的谷歌账户。这感觉与内置密码管理器的工作方式类似,但没有涉及任何密码。
当然,通行密钥仍处于开发阶段,其实现方式也存在不一致。正如ArsTechnica 指出的那样,目前通行密钥是通过您的操作系统生态系统进行同步的。现在,如果您只使用苹果设备,情况还算可以。您的通行密钥会通过 iCloud 在您的 iPhone、iPad 和 Mac 之间同步。但对于其他人来说,则是一团糟。如果您在 Android 智能手机上创建了一个通行密钥,它会同步到您的其他 Android 设备,但不会同步到您的 Windows 电脑,甚至不会同步到您的 Chrome 浏览器。虽然可以使用二维码等工具来变通,但这与大多数浏览器内置的简便密码共享功能相去甚远。
此外,通行密钥的普及度还不高。不同的操作系统支持它们的程度各不相同,目前只有41 款应用程序和服务允许您使用它们登录。谷歌的加入是一个重大的进展,部分原因是使用谷歌登录的服务数量庞大。
密码管理器已成为在不同设备和操作系统上管理复杂、唯一的密码的好工具。这些密码管理器,例如 Dashlane 和1Password,正在努力解决目前通行密钥内置的同步问题。1Password 的 CEO Jeff Shiner 在给 PopSci 的一份声明中表示:“通行密钥是第一种消除人为错误——提供安全性和易用性——的身份验证方法……然而,为了广泛采用,用户需要能够选择他们想要在哪里以及何时使用通行密钥,以便他们可以轻松地在不同生态系统之间切换……这是通行密钥的一个转折点,也是让在线世界变得安全的关键。”
如果您准备好尝试通行密钥,尽管存在同步问题和支持不足,您可以阅读我们关于如何为您的谷歌账户设置通行密钥的指南。不幸的是,这仅适用于常规的谷歌账户。谷歌 Workspace 账户暂时还不支持。
