强大、独特的密码是所有在线账户的安全基本保障。只要足够强大,密码可以在很大程度上保护我们的账户安全。然而,密码并非在所有情况下都能理想工作。它们有独特的天然劣势,容易被黑客利用。
许多安全专家都在建议应该摆脱密码,转而使用 Passkey 通行密钥。Passkey 与密码具有类似的优点,但更加安全。那么,密码和 Passkey 有什么区别?应该使用哪个来保护账户安全呢?
为什么密码不安全
密码是目前互联网用户保护在线账户安全和隐私的主要手段。只有账户持有人知道密码,其他人无法访问该账户。然而,密码也有固有的天然缺陷:
- 密码是由用户创建的,通常基于易用性而非实际安全性进行考量。一般用户的密码通常比较短,这使得它们可以被软件爆力破解。普通人的密码通常基于个人信息或常用词,让密码很容易被猜到(社会工程)。人们也习惯于将密码在多个账户之间重复使用,这使得一次黑客攻击就可以拿下所有账户(撞库)。
- 密码也很容易被盗取。用户访问钓鱼页面或向任何受到攻击或不安全的服务提交个人信息,密码就会被暴露。
虽然仅使用密码保护账户是可能的,但需要遵守一定的密码原则,但非 IT 和安全专业人士大多做不到,就很可能导致账户被盗用。
什么是 Passkey 通行密钥
通行密钥 Passkey 一词是 Password 和 Key 的合并,旨在突显其作为身份验证机制的实用性,与传统密码一样熟悉和普遍,但同时也让人联想到仅能用物理钥匙打开的坚固锁的可靠性形象。
- Pass「word」依靠一个单词、短语或一串字符(通常与用户名相结合)来认证用户。
- Pass「key」使用公钥和私钥的数学算法来进行身份验证。
一旦设置了 Passkey,认证过程会在登录时以透明的方式进行,用户的额外参与也很少。对于拥有正确 Passkey 的人来说,登录会变得轻松、几乎自动化,而其他恶意的人则几乎不可能实现。Passkey 技术是网络安全行业试图简化、现代化和重新包装安全认证词汇的尝试,即使其基础技术与 2018 年以来已存在的 FIDO2/WebAuthn 在本质上相同。
简单来说,Passkey 是密码的替代方案。使用 Passkey 授予对帐户的访问权限,而非直接输入密码。Passkey 的认证器通常是您拥有的另一个设备,比如智能手机或笔记本电脑。
在使用 Passkey 时,会要求您登录设备而不是要访问的帐户。可以通过在智能手机上输入 PIN 码或使用生物识别(人脸或指纹等)技术来完成验证。
因为您拥有设备而非提供密码,所以才会授予对帐户的访问权限。Passkey 没有有密码的缺点,除非「认证器」被盗,才能访问您的帐户。
由于没有密码可以窃取,因此无法进行钓鱼攻击。Passkey 也无法使用软件进行猜测或破解。Passkey 也更容易使用。用户无需记住许多不同帐户的不同密码,而使用 Passkey 登录通常也更快。
Passkey 通行密钥是如何工作的
Passkey 登录作为密码登录的有效替代方案,仍然是一种新兴和不断发展的技术,因此 Passkey 的确切机制在未来可能会有所不同,但核心概念不会差异太大。
1当某人请求访问启用了 Passkey 技术的网站或应用程序(也称为依赖方)时,他们将被提示在首次登录时创建一个原始(或初始)Passkey。这个 Passkey 将用于未来的认证,需要生物识别(人脸或指纹等)、个人 PIN 码或密码访问,具体取决于用户的喜好以及所选「认证器」设备的可用性。
2Passkey 生成过程会创建一对数学算法的加密密钥:一个私钥,驻留在用户的认证器硬件上,另一个公钥,驻留在依赖方并与该帐户相关联。
3在随后的登录过程中,服务器会向用户的设备提交一个随机生成的「挑战」,用户必须通过使用私钥对该「挑战」进行签名来回应。
4然后,依赖方可以通过使用相关联的公钥解密响应来验证私钥的真实性。如果原始的随机生成的「挑战」与解密的响应匹配,则确认认证,并授予访问权限。
所有这些认证过程都在后台以闪电般快速的数据交换和计算机处理中进行,这是一种极快速的替代方案,预示着脆弱的传统密码登录方式将终结。Passkey 技术消除了繁琐的入门障碍,同时还增强了安全性。
共享 Passkey 凭据的可能
作为一种身份验证机制,Passkey 的另一个独特特点是其「可共享」的潜力。由于 Passkey 的实施仍在不断发展,一些服务商甚至描述了在保证 Passkey 本身在云端受到保护并远离攻击者的情况下,在用户之间复制凭据的可能性。
这种能力可能会增强整体用户体验,例如只需滑动或按下一个按钮,就可以轻松地在朋友、家人甚至同事之间共享账户访问。然而,如何在企业环境中安全地管理这种功能尚有待观察。
此外,人们对于企业是否应该更加依赖云服务商,并放弃更大的凭据管理控制权和所有权存在严重担忧。因为一旦服务商的数据泄露,几乎肯定会导致灾难性和广泛的影响。
当然,目前广泛使用的密码也可以在用户之间共享,但这种做法通常不被安全专家推荐,在企业级别上更不被鼓励。
我应该使用 Passkey 吗
目前,许多网站都支持 Passkey,但大多数小型账户提供商仍只接受密码。尽管 Passkey 有望最终取代密码,但时间还尚不确定。无论 Passkey 是否更优秀,想必大多数人都不会因此更换账户提供商。
是否转换到 Passkey 取决于您目前使用密码的方式:
- 如果遵循良好的密码规则,要不要转换只是个人喜好问题。强大且独特的密码始终是防止黑客攻击的有效方式,如果更喜欢使用密码,没有理由换来换去。
- 但如果有使用弱密码或在不同账户间重复使用密码的情形,转换到 Passkey 是一个不错的主意,这将有助于提高账户安全水平。
Passkey 是否将成为必备
许多网站限制密码类型。例如,您可能必须使用特定长度或数字、符号和字母的组合。甚至一些网站还要求使用双因素认证。
没有人知道 Passkey 是否很快普及,它仍然是一个相对新的概念,不太可能很快成为「必要条件」。但随着使用 Passkey 的人数增加和黑客攻击相应减少,如果用户想要使用某些特定的服务,可能将不会有选择权。
虽然阻止用户自主选择并不讨喜,但因为使用弱密码而被黑客攻击的人数也实在太多,任何可以提高用户账户安全的政策都应该受到欢迎。
任何在线账户都可能成为黑客攻击的目标。尽管强密码可以提供足够的防御,但是 Passkey 的发明为互联网用户提供了一种更优越的保持账户安全的选项。
如果您想立即使用 Passkey,现在很多在线服务已经支持了。看看眼下 Apple、Google、1Password 和 Bitwarden 这些大厂在做什么就知道了。Passkey 的可用性正在不断增加,相信很快大多数人都将能够无密码登录在线服务。
最新评论
需要管理员权限
直接降级 Windows10 一次性永久解决问题
我按照作者的方法成功了
使用PowerShell修改失败,禁止访问