密钥是新的、安全的且易于使用。但是,对于它们的工作方式存在很多困惑。这篇文章澄清了许多误解。正确拒绝更改密码管理是很多人非常关心的事情。许多人不喜欢密码并希望有更好的方法。但其他人拥有围绕其密码安全构建的可靠系统,并且对声称可以改进其现有系统的系统持怀疑态度。他们有充分的理由喜欢他们当前的设置,并且不愿意更改适合他们的设置。那是明智的。密码输入图片许多人对SkeletonKey持怀疑态度,这是FIDO联盟的一项新协议,旨在显着提高登录网站和移动应用程序的安全性、安全性和用户体验。Password已由Apple正式宣布,并由Google放入Chrome和Android的开发人员构建中。微软也在准备它的版本。这三个公司对于采用至关重要,因为它们代表了绝大多数设备、计算机、浏览器和操作系统。如果三人都同意某件事,那很可能是有道理的。我看了评论。自从Apple和Google都宣布支持密码以来,已经有很多文章描述了密码、它们的工作原理以及科技巨头将如何支持它们。许多信息丰富,但有些令人困惑。据说你永远不应该看评论,但我有。说对密码存在一些困惑、恐惧和误解有点轻描淡写。我已经写过为什么我们需要万能钥匙、它们如何工作以及为什么它们是比密码更好的解决方案。为了继续这个话题,我将写下我所看到的关于万能钥匙的一些误解。1.某处还会有密码吗?人们似乎认为系统中的某个地方仍然会有密码备份。有些人这样说是因为他们希望它成为一种真正的恢复方法,但其他人担心这是真的,因为他们认识到这实际上不会改善情况。WebAuthn协议不——也不应该——要求在系统的任何地方使用密码。它不应该,因为要求密码违背了目的并导致系统仍然“容易受到网络钓鱼的攻击”,因此并不比我们今天拥有的系统更安全。没有密码备份,因为没有必要。现在,随着网站和应用程序迁移到无密码和基于密钥的解决方案,它们可能会保留密码身份验证。不过,这不是必需的,预计密码最终会完全消失。2.登录需要蓝牙吗?有些文章错误地暗示需要蓝牙连接才能完成密码登录。这不是真的。虽然蓝牙在确保跨主要科技公司生态系统的基于密码的身份验证传输方面发挥着重要作用,但简单的登录过程并不需要它。您的手机不必在蓝牙范围内即可登录计算机。如果你想将密钥传输到另一台设备或从另一台设备传输,你的手机必须在范围内——这是一项安全功能。3.我只需注册一次我的设备,它就会让我在任何地方登录有些人得出的结论是,你可以在苹果、微软或谷歌注册你的手机或电脑,它会在任何地方使用。这会导致诸如“当我访问一个要求我输入密码的网站时会发生什么?”这样的问题。如果它能那样工作就好了。但是,每个网站都必须自己实施无密码技术,作为用户,您必须像今天一样在每个网站或移动应用程序上注册一个帐户。4.如果坏人拿到我的手机,他们是否可以访问我的所有帐户?实际上,如果坏人拿到了你的手机,他们几乎不可能得到任何东西。首先,他们没有你的生物特征,所以他们甚至无法解锁你的手机。其次,所有秘密密钥信息都存储在可信平台模块中,专门设计用于以几乎不可渗透的方式保护您的密钥秘密。(好吧,也许NSA或类似的东西可能会涉及,但我不能肯定地说......)所以你可以放心,即使是最老练的黑客,你的手机也不会泄露你的登录信息。5.如果我没有电话,我是不是运气不好?人们担心如果他们在朋友家或图书馆的电脑上没有手机,他们将无法登录。密钥协议没有解决这种情况,但大多数供应商会——而且应该--提供第二个安全登录选项。通常,这是一个“魔术链接”——一个一次性的、过期的链接,可以让你登录——发送到你的电子邮件地址。只有您可以访问您的电子邮件,因此此链接将使您安全地登录到世界上任何一台计算机。6.如果我丢了手机,我会倒霉吗?这是部分正确的。有点儿。主密钥的好处之一是它们承诺在每个主要科技公司的给定生态系统内跨设备共享。这意味着,如果您丢失了手机,您的密钥将安全地(通过端到端加密)存储在云端。当您拿到新手机时,它们可以恢复。但是,您可以选择不将密钥共享到云端,如果您这样做并且只有一台设备,那么是的,密钥将会丢失并且您必须在访问的每个站点重新注册。这里的正常用例是用户决定通过云(以安全加密的方式)在他们的设备之间共享他们的密钥,因此更换手机不是问题。7.如果我的生物特征被泄露怎么办?有些人似乎担心,如果他们受到损害,他们将无法更改他们的生物特征。(密码可以改,指纹不能改……)这些人是对的——你不能改变你的生物特征。但是,尚不清楚销毁它们究竟意味着什么。您的生物识别数据永远不会离开您的手机。它被转换为数学散列并使用存储在TPM中的密钥进行加密。只有拥有指纹的手机才能获取密钥并验证指纹。您的生物识别数据无法在手机以外的任何地方存储和解密。难以置信?我不会说密钥好得令人难以置信,但我会说它们在身份验证安全方面向前迈出了一大步。如果说密码的威胁面是一个广阔的湖泊,那么密钥的威胁面就是倾盆大雨后的一个小水坑。虽然没有系统应该被认为是坚不可摧的,但似乎没有人能够想出一种在短期内破解密钥的方法,因为量子计算可以破解当前的加密方案。在一些极端的情况下,有些人可能无法接受。例如,生物特征不受美国第四修正案保护,但密码受保护。另一件需要考虑的事情是,虽然谷歌/苹果/微软永远无法读取您的凭据,但人们担心这些公司将能够追踪您注册帐户的位置。这就是为什么像1Password这样的第三方公司正在寻找提供密钥存储和传输服务的方法。底线:对于绝大多数人来说,密码是安全、方便且有效的。虽然我理解改变现状的犹豫,但这是改变如何使每个人受益的一个例子。
