密钥正在 「」无密码登录新时代更安全、更快捷的“密钥”登场

你是否曾疑惑，“无需密码就能登录，这怎么可能？”密码和用户名似乎早已成为生活常态，很难想象没有它们的日子。然而，变革正在悄然发生，因为现状令人担忧：全球数十亿个人账户被盗。在德国，近三分之一的人曾遭遇在线账户窥探，消费者咨询中心的一项调查显示。

这一切问题的根源并非全在用户，人们往往难以为上百个账户设置独特且安全的密码。现在，情况正在好转，越来越多的互联网服务，从亚马逊到WhatsApp，正引入“密钥”这一新概念。它们不仅管理起来更简便，而且更加安全。

不再需要记忆复杂的密码，忘掉遗忘的烦恼，甚至无需额外设备，只需电脑或手机就能开始。我们将重点讲解密钥的实际应用，只在必要时解释其背后的加密技术——它基于Fido 2标准的非对称加密。

一旦密钥设置完成，下次访问该网站或应用时，只需简单告知你想登录。网站会发送一个挑战任务，只有借助设备中的私钥才能解决，并通过指纹、面部识别或PIN码授权。最终返回的是数字签名的解决方案，而非私钥本身，有效防止钓鱼攻击。

在家使用电脑时，若只想在PC上启用密钥，只需将私钥存储在本地。你需要的是兼容的浏览器，如Chrome、Edge或Firefox（122及以上版本）。首先在Windows设置的账户>登录选项下创建Windows Hello的登录PIN，这与密码不同，仅限于此台电脑。如果可用，指纹或面部识别也能提升便捷性。

现在，我们来快速体验一下。打开https://webauthn.io测试页面，在“example_username”字段输入自选名字，点击“注册”，接着通过Windows Hello验证。可能需要确认“此设备”选项，随后你会看到“主密钥保存”和“成功！现在尝试登录……”的信息，整个过程不到60秒。

请照做，使用刚创建的密钥无密码登录。点击“认证”按钮，再次验证，你会看到“已登录”的提示！

由于Webauthn测试账户会在一天后自动删除，无需额外操作。

阅读更多：如何防范（或应对）勒索软件攻击

相比电脑，手机在密码无密码登录上更具实用性：

手机损坏或丢失时，备份立即到位。Windows暂时还未实现同步。关于密钥备份策略，请参阅页面底部的说明。

手机操作如下：在PC上打开https://webauthn.io，输入用户名，选择“iPhone、iPad或Android设备”进行注册，然后扫描屏幕上的二维码。确认密钥选项，按照提示完成后续步骤。安卓和iOS略有差异，部分设备可能还需输入解锁PIN才能通过指纹或面部扫描验证。

扫描二维码后，允许手机直接跳过此步，未来在PC上登录只需选择关联的移动设备，通过指纹或面部扫描授权即可。蓝牙（5.0版本以上）负责认证，不足时可购买约10美元的USB蓝牙适配器。

之后，你可以同样使用密钥登录实际在线账户，挑战请求在后台运行，几秒钟内以数字签名形式返回，安全登录。

现在你了解了密钥的工作原理。建议先在几个账户上试用，上方列表列出了支持该方法的重要服务商。

目前大部分服务仍允许同时使用密钥和密码，但密码安全仍有风险。微软至少提供了在个人设置>安全性>高级安全选项>无密码账户中完全移除密码的选项。NAS制造商Synology甚至要求你必须在密码和密钥之间做出选择。

创建密钥通常在账户配置的“安全性”选项中找到，步骤因服务商而异。有时可能遇到额外应用程序和其他障碍。例如，最初Google的密钥与Windows Hello绑定在PC上，后来才可在“不同设备”（如手机）上创建。

阅读更多：5种过时的安全做法，你应该摒弃

微软则要求先在手机上安装自家Authenticator应用，之后才能切换到操作系统密码管理器。这些例子提醒我们，熟悉密钥至关重要。一旦掌握，通过试用或搜索都能轻松上手。

小贴士：密钥也适用于高度安全的应用，如支付，只需二次验证，如指纹快速授权PayPal交易，无需输入短码或其他步骤。

云同步密钥的优势在于，无需为每台设备单独设置无密码登录，让管理更加便捷。

Post by Polly

文章列表