密鑰是新的、安全的并且易于使用。然而，關(guān)于它們的工作方式存在很多困惑。這篇文章消除了許多誤解。

正確地拒絕改變

密碼管理是很多人都非常關(guān)心的事情。許多人不喜歡密碼并希望有更好的方法。但是其他人有一個圍繞他們的密碼安全構(gòu)建的可靠系統(tǒng)，并且理所當(dāng)然地對聲稱可以改進他們所擁有的系統(tǒng)的系統(tǒng)持懷疑態(tài)度。他們有充分的理由喜歡他們當(dāng)前的設(shè)置，并且不愿更改對他們有用的設(shè)置。那是明智的。

密碼輸入圖片

因此，許多人對萬能鑰匙持懷疑態(tài)度，這是 FIDO 聯(lián)盟的新協(xié)議，旨在顯著提高登錄網(wǎng)站和移動應(yīng)用程序的安全性、安全性和用戶體驗。

密碼已由 Apple 正式宣布，并由 Google 放入 Chrome 和 Android 的開發(fā)人員構(gòu)建中。微軟也在準(zhǔn)備它的版本。這三個公司之所以對采用至關(guān)重要，是因為它們代表了絕大多數(shù)設(shè)備、計算機、瀏覽器和操作系統(tǒng)。如果這三個人都同意某件事，那么很可能是有道理的。

我看了評論

自從 Apple 和 Google 都宣布支持密碼以來，已經(jīng)有很多文章描述了密碼、它們的工作原理以及科技巨頭將如何支持它們。許多人提供了豐富的信息，但也有一些人令人困惑。

據(jù)說你永遠不應(yīng)該看評論，但我看過。并且說對密碼存在一些困惑、恐懼和誤解有點輕描淡寫。

我已經(jīng)寫過為什么我們需要萬能鑰匙、它們?nèi)绾喂ぷ饕约盀槭裁此鼈兪潜让艽a更好的解決方案。為了繼續(xù)這個主題，我將寫下我看到的一些關(guān)于萬能鑰匙的誤解。

1. 某處還會有密碼嗎?

人們似乎認為系統(tǒng)中的某個地方仍然會有密碼備份。有些人這樣說是因為他們希望這是一種真正的恢復(fù)方法，但其他人擔(dān)心這是真的，認識到它不會真正改善情況。

WebAuthn協(xié)議不——也不應(yīng)該——要求在系統(tǒng)的任何地方使用密碼。不應(yīng)該，因為要求密碼會破壞目的并導(dǎo)致系統(tǒng)繼續(xù)“易受網(wǎng)絡(luò)釣魚”，因此不會比我們今天擁有的系統(tǒng)更安全。沒有密碼備份，因為沒有必要。

現(xiàn)在，隨著網(wǎng)站和應(yīng)用程序遷移到無密碼和基于密鑰的解決方案，它們可能會保留密碼身份驗證。盡管如此，這并不是必需的，并且預(yù)計密碼最終會完全消失。

2.登錄需要藍牙嗎?

一些文章錯誤地暗示需要藍牙連接才能完成密碼登錄。

這不是真的。雖然藍牙在確保主要科技公司生態(tài)系統(tǒng)之間基于密碼的身份驗證傳輸方面發(fā)揮著重要作用，但簡單的登錄過程并不需要它。您的手機不必在藍牙范圍內(nèi)即可登錄你的電腦。如果你想將密鑰傳輸?shù)搅硪慌_設(shè)備或從另一臺設(shè)備傳輸密鑰，你的手機必須在范圍內(nèi)——這是一項安全功能。

3. 我可以注冊我的設(shè)備一次，它會在任何地方登錄我

有些人得出的結(jié)論是，您可以在 Apple、Microsoft 或 Google 注冊您的手機或計算機，它在任何地方都可以使用。這導(dǎo)致了諸如“當(dāng)我訪問一個要求我輸入密碼的網(wǎng)站時會發(fā)生什么?”這樣的問題。如果能那樣工作就好了。但是，每個網(wǎng)站都必須自己實施無密碼技術(shù)，作為用戶，您將不得不像今天一樣在每個網(wǎng)站或移動應(yīng)用程序上注冊一個帳戶。

4. 如果壞人拿到我的手機，他們能訪問我的所有帳戶嗎?

實際上，如果壞人拿到了你的手機，他們幾乎不可能得到任何東西。首先，他們不會獲得您的生物特征信息，因此甚至無法解鎖您的手機。其次，所有秘密密鑰信息都存儲在可信平臺模塊中，專門設(shè)計用于以幾乎無法滲透的方式保存您的密鑰秘密。(好吧，也許 NSA 或類似的組織可以參與其中，但我不能肯定地說……)

所以您可以放心，即使是最老練的黑客，您的手機也不會泄露您的登錄信息。

5. 如果我沒有手機，我是不是運氣不好?

人們擔(dān)心，如果他們在朋友家或圖書館的電腦上沒有手機，他們將無法登錄。

密鑰協(xié)議沒有解決這種情況，但大多數(shù)供應(yīng)商會——而且應(yīng)該——提供第二個安全登錄選項。通常，這是一個“魔術(shù)鏈接”——一個一次性的、過期的鏈接，可以讓你登錄——發(fā)送到您的電子郵件地址。只有您有權(quán)訪問您的電子郵件，因此該鏈接將使您安全地登錄到全球任何一臺計算機。

6. 如果我丟了手機，我是不是倒霉了?

這是部分正確的。有點。

萬能鑰匙的好處之一是它們承諾在每個大型科技公司的給定生態(tài)系統(tǒng)內(nèi)跨設(shè)備共享。這意味著如果您丟失了手機，您的密鑰將安全地存儲(通過端到端加密)在云端。當(dāng)您拿到新手機時，它們可以恢復(fù)。

但是，您可以選擇不將密鑰共享到云中，如果您這樣做并且只有一臺設(shè)備，那么是的，密鑰將會丟失，并且您必須在訪問的每個站點上重新注冊。

這里的正常用例是用戶決定通過云(以安全加密的方式)在他們的設(shè)備之間共享他們的密鑰，因此更換電話不是問題。

7. 如果我的生物特征被泄露怎么辦?

有些人似乎擔(dān)心，如果他們受到威脅，他們將無法更改他們的生物特征。(密碼可以改，指紋不能改……)

這些人是對的——你不能改變你的生物特征。然而，目前尚不清楚它們被破壞究竟意味著什么。您的生物識別數(shù)據(jù)永遠不會離開您的手機。它被轉(zhuǎn)換為數(shù)學(xué)哈希值并使用存儲在 TPM 中的密鑰進行加密。只有帶有指紋的手機才能獲取密鑰并驗證指紋。您的生物識別數(shù)據(jù)無法在手機以外的任何地方存儲和解密。

好得令人難以置信?

我不會說萬能鑰匙好得令人難以置信，但我會說它們在身份驗證安全方面向前邁出了一大步。如果說密碼的威脅面是一片浩瀚的湖泊，那么密鑰的威脅面就是傾盆大雨后的一個小水坑。雖然沒有系統(tǒng)應(yīng)該被認為是堅不可摧的，但似乎沒有人能夠想到一種方法可以在量子計算打破當(dāng)前加密方案的短期內(nèi)破壞密鑰。

在一些極端情況下，某些人可能無法接受。例如，生物識別技術(shù)不受美國第四修正案的保護，但密碼受保護。另一件需要考慮的事情是，雖然谷歌/蘋果/微軟永遠無法讀取您的憑據(jù)，但人們擔(dān)心這些公司將能夠追蹤您注冊帳戶的地點。這就是為什么像1Password這樣的第三方公司正在尋找提供密鑰存儲和傳輸服務(wù)的方法。

底線：對于絕大多數(shù)人來說，密碼安全、方便，而且效果很好。雖然我理解改變現(xiàn)狀的猶豫，但這是一個改變對每個人都有利的例子。