密鑰是新的、安全的并且易于使用。然而，關(guān)于它們的工作方式存在很多困惑。這篇文章消除了許多誤解。

正確地拒絕改變

密碼管理是很多人都非常關(guān)心的事情。許多人不喜歡密碼并希望有更好的方法。但是其他人有一個(gè)圍繞他們的密碼安全構(gòu)建的可靠系統(tǒng)，并且理所當(dāng)然地對(duì)聲稱可以改進(jìn)他們所擁有的系統(tǒng)的系統(tǒng)持懷疑態(tài)度。他們有充分的理由喜歡他們當(dāng)前的設(shè)置，并且不愿更改對(duì)他們有用的設(shè)置。那是明智的。

密碼輸入圖片

因此，許多人對(duì)萬能鑰匙持懷疑態(tài)度，這是 FIDO 聯(lián)盟的新協(xié)議，旨在顯著提高登錄網(wǎng)站和移動(dòng)應(yīng)用程序的安全性、安全性和用戶體驗(yàn)。

密碼已由 Apple 正式宣布，并由 Google 放入 Chrome 和 Android 的開發(fā)人員構(gòu)建中。微軟也在準(zhǔn)備它的版本。這三個(gè)公司之所以對(duì)采用至關(guān)重要，是因?yàn)樗鼈兇砹私^大多數(shù)設(shè)備、計(jì)算機(jī)、瀏覽器和操作系統(tǒng)。如果這三個(gè)人都同意某件事，那么很可能是有道理的。

我看了評(píng)論

自從 Apple 和 Google 都宣布支持密碼以來，已經(jīng)有很多文章描述了密碼、它們的工作原理以及科技巨頭將如何支持它們。許多人提供了豐富的信息，但也有一些人令人困惑。

據(jù)說你永遠(yuǎn)不應(yīng)該看評(píng)論，但我看過。并且說對(duì)密碼存在一些困惑、恐懼和誤解有點(diǎn)輕描淡寫。

我已經(jīng)寫過為什么我們需要萬能鑰匙、它們?nèi)绾喂ぷ饕约盀槭裁此鼈兪潜让艽a更好的解決方案。為了繼續(xù)這個(gè)主題，我將寫下我看到的一些關(guān)于萬能鑰匙的誤解。

1. 某處還會(huì)有密碼嗎?

人們似乎認(rèn)為系統(tǒng)中的某個(gè)地方仍然會(huì)有密碼備份。有些人這樣說是因?yàn)樗麄兿Ｍ@是一種真正的恢復(fù)方法，但其他人擔(dān)心這是真的，認(rèn)識(shí)到它不會(huì)真正改善情況。

WebAuthn協(xié)議不——也不應(yīng)該——要求在系統(tǒng)的任何地方使用密碼。不應(yīng)該，因?yàn)橐竺艽a會(huì)破壞目的并導(dǎo)致系統(tǒng)繼續(xù)“易受網(wǎng)絡(luò)釣魚”，因此不會(huì)比我們今天擁有的系統(tǒng)更安全。沒有密碼備份，因?yàn)闆]有必要。

現(xiàn)在，隨著網(wǎng)站和應(yīng)用程序遷移到無密碼和基于密鑰的解決方案，它們可能會(huì)保留密碼身份驗(yàn)證。盡管如此，這并不是必需的，并且預(yù)計(jì)密碼最終會(huì)完全消失。

2.登錄需要藍(lán)牙嗎?

一些文章錯(cuò)誤地暗示需要藍(lán)牙連接才能完成密碼登錄。

這不是真的。雖然藍(lán)牙在確保主要科技公司生態(tài)系統(tǒng)之間基于密碼的身份驗(yàn)證傳輸方面發(fā)揮著重要作用，但簡(jiǎn)單的登錄過程并不需要它。您的手機(jī)不必在藍(lán)牙范圍內(nèi)即可登錄你的電腦。如果你想將密鑰傳輸?shù)搅硪慌_(tái)設(shè)備或從另一臺(tái)設(shè)備傳輸密鑰，你的手機(jī)必須在范圍內(nèi)——這是一項(xiàng)安全功能。

3. 我可以注冊(cè)我的設(shè)備一次，它會(huì)在任何地方登錄我

有些人得出的結(jié)論是，您可以在 Apple、Microsoft 或 Google 注冊(cè)您的手機(jī)或計(jì)算機(jī)，它在任何地方都可以使用。這導(dǎo)致了諸如“當(dāng)我訪問一個(gè)要求我輸入密碼的網(wǎng)站時(shí)會(huì)發(fā)生什么?”這樣的問題。如果能那樣工作就好了。但是，每個(gè)網(wǎng)站都必須自己實(shí)施無密碼技術(shù)，作為用戶，您將不得不像今天一樣在每個(gè)網(wǎng)站或移動(dòng)應(yīng)用程序上注冊(cè)一個(gè)帳戶。

4. 如果壞人拿到我的手機(jī)，他們能訪問我的所有帳戶嗎?

實(shí)際上，如果壞人拿到了你的手機(jī)，他們幾乎不可能得到任何東西。首先，他們不會(huì)獲得您的生物特征信息，因此甚至無法解鎖您的手機(jī)。其次，所有秘密密鑰信息都存儲(chǔ)在可信平臺(tái)模塊中，專門設(shè)計(jì)用于以幾乎無法滲透的方式保存您的密鑰秘密。(好吧，也許 NSA 或類似的組織可以參與其中，但我不能肯定地說……)

所以您可以放心，即使是最老練的黑客，您的手機(jī)也不會(huì)泄露您的登錄信息。

5. 如果我沒有手機(jī)，我是不是運(yùn)氣不好?

人們擔(dān)心，如果他們?cè)谂笥鸭一驁D書館的電腦上沒有手機(jī)，他們將無法登錄。

密鑰協(xié)議沒有解決這種情況，但大多數(shù)供應(yīng)商會(huì)——而且應(yīng)該——提供第二個(gè)安全登錄選項(xiàng)。通常，這是一個(gè)“魔術(shù)鏈接”——一個(gè)一次性的、過期的鏈接，可以讓你登錄——發(fā)送到您的電子郵件地址。只有您有權(quán)訪問您的電子郵件，因此該鏈接將使您安全地登錄到全球任何一臺(tái)計(jì)算機(jī)。

6. 如果我丟了手機(jī)，我是不是倒霉了?

這是部分正確的。有點(diǎn)。

萬能鑰匙的好處之一是它們承諾在每個(gè)大型科技公司的給定生態(tài)系統(tǒng)內(nèi)跨設(shè)備共享。這意味著如果您丟失了手機(jī)，您的密鑰將安全地存儲(chǔ)(通過端到端加密)在云端。當(dāng)您拿到新手機(jī)時(shí)，它們可以恢復(fù)。

但是，您可以選擇不將密鑰共享到云中，如果您這樣做并且只有一臺(tái)設(shè)備，那么是的，密鑰將會(huì)丟失，并且您必須在訪問的每個(gè)站點(diǎn)上重新注冊(cè)。

這里的正常用例是用戶決定通過云(以安全加密的方式)在他們的設(shè)備之間共享他們的密鑰，因此更換電話不是問題。

7. 如果我的生物特征被泄露怎么辦?

有些人似乎擔(dān)心，如果他們受到威脅，他們將無法更改他們的生物特征。(密碼可以改，指紋不能改……)

這些人是對(duì)的——你不能改變你的生物特征。然而，目前尚不清楚它們被破壞究竟意味著什么。您的生物識(shí)別數(shù)據(jù)永遠(yuǎn)不會(huì)離開您的手機(jī)。它被轉(zhuǎn)換為數(shù)學(xué)哈希值并使用存儲(chǔ)在 TPM 中的密鑰進(jìn)行加密。只有帶有指紋的手機(jī)才能獲取密鑰并驗(yàn)證指紋。您的生物識(shí)別數(shù)據(jù)無法在手機(jī)以外的任何地方存儲(chǔ)和解密。

好得令人難以置信?

我不會(huì)說萬能鑰匙好得令人難以置信，但我會(huì)說它們?cè)谏矸蒡?yàn)證安全方面向前邁出了一大步。如果說密碼的威脅面是一片浩瀚的湖泊，那么密鑰的威脅面就是傾盆大雨后的一個(gè)小水坑。雖然沒有系統(tǒng)應(yīng)該被認(rèn)為是堅(jiān)不可摧的，但似乎沒有人能夠想到一種方法可以在量子計(jì)算打破當(dāng)前加密方案的短期內(nèi)破壞密鑰。

在一些極端情況下，某些人可能無法接受。例如，生物識(shí)別技術(shù)不受美國(guó)第四修正案的保護(hù)，但密碼受保護(hù)。另一件需要考慮的事情是，雖然谷歌/蘋果/微軟永遠(yuǎn)無法讀取您的憑據(jù)，但人們擔(dān)心這些公司將能夠追蹤您注冊(cè)帳戶的地點(diǎn)。這就是為什么像1Password這樣的第三方公司正在尋找提供密鑰存儲(chǔ)和傳輸服務(wù)的方法。

底線：對(duì)于絕大多數(shù)人來說，密碼安全、方便，而且效果很好。雖然我理解改變現(xiàn)狀的猶豫，但這是一個(gè)改變對(duì)每個(gè)人都有利的例子。