密码,长期以来,一直是各种账户安全的第一道屏障。但回顾过去,密码的安全性究竟如何呢?
我们常常会使用诸如宠物名字、重要日期、关键事件以及姓名等的组合来设置密码,而这些信息很容易从我们在社交媒体上的痕迹中被拼凑出来。
更复杂的是,为了避免账户在泄露时受到损害,我们需要为不同的账户设置多个密码,这使得密码管理变得更加困难。
图片来源: 博客.google
“密码的终结的开端”——正如谷歌博客文章的标题所暗示的那样。 近期,关于逐步淘汰密码时代的讨论和努力已经展开。包括谷歌、苹果和微软在内的顶尖科技公司正积极推动淘汰这一长期沿用的技术,并用密钥取而代之。
本文将深入探讨什么是密钥,它为何更优越,以及如何在Google账户上逐步设置密钥。
什么是密钥?
密钥是一种全新的用户身份验证方式,它比传统的密码更加安全和便捷。它摒弃了密码和用户名,避免了旧式身份验证方法容易遭受的黑客攻击、网络钓鱼和数据泄露等安全威胁,转而采用更为安全可靠的方式。
与广泛使用的密码验证方式不同,密钥实现了无密码化,用户无需记住复杂的密码。它通过PIN码、图案或生物识别传感器(如指纹或面部识别)来验证用户身份,然后再允许访问账户。因此,使用密钥需要用户拥有支持该技术的设备。
虽然安全专家建议使用强密码,并为每个账户设置独一无二的密码,但许多用户仍然使用弱密码,并在多个平台使用相同的密码,这进一步加剧了密码系统的脆弱性。
因此,万维网联盟(W3C)和FIDO联盟开发了密钥技术。FIDO联盟一直致力于减少对密码的依赖。
由于现有的密码技术存在安全缺陷,密钥的出现势在必行。为了弥补这些不足,双因素身份验证应运而生,作为在用户访问账户之前的第二层安全保障;同时,密码管理器也得到了广泛应用,以帮助用户跟踪他们在多个账户上的密码。
密钥是如何工作的?
密钥基于Web身份验证API(WebAuthn)。 Web身份验证利用公钥和私钥(称为公钥加密)来确保用户是账户的合法所有者。
传统的密码验证方式下,任何知道您密码的人都可以从任何地方登录并访问您的账户。 而密钥则采用更严格的方式来验证您的身份。
密钥由两部分组成:公钥和私钥。这两部分都至关重要,它们协同工作,就像拼图一样,解锁并验证用户的身份。公钥可以存储在您要为其创建密钥的任何网站或应用程序上。私钥,顾名思义,是安全存储的,并且只能从创建密钥时使用的设备进行访问。
私钥不会被上传到任何云平台,难以被破解,这使得密钥更加安全。简单来说,当您想使用密码登录Google账户时,请记住,密钥由两个部分组成。
Google会向您的设备发送一个加密挑战。此时,Google已经持有您的公钥。
当您的设备收到加密挑战时,您需要使用PIN码、图案或面部识别解锁手机,然后手机将使用您的私钥对挑战进行签名,并将签名的挑战返回给Google。
Google随后使用其存储的公钥副本对其进行验证。如果两个密钥匹配,则加密的挑战将被解密,Google就确认了您的身份。 可以看到,密钥的工作原理类似于2FA,但更为完善。
为什么密钥更好?
比密码更好、更强
密钥采用公钥加密技术,这是一种更为安全的用户身份验证方式。与基于密码的身份验证相比,它更能抵御网络钓鱼和其他形式的攻击。您的私钥绝不会被共享到云端,确保只有您本人才能访问您的账户。
方便的
传统的密码通常需要您记住大小写字母和特殊符号。而使用密钥,您可以通过生物识别传感器来验证您的身份,该传感器负责发送和验证身份,让您不再需要记忆密码。
零违规成为可能
虽然您需要公钥和私钥才能验证身份,且公钥是公开存储在网站云端的,但在发生数据泄露时,公钥无法被逆向工程来获取您的私钥,从而确保您的账户仍然无法被破解。
增强的用户体验
正如前文所述,密钥有助于消除持续记忆密码的需求,同时避免了忘记密码而无法访问账户的风险,从而使身份验证更加便捷和无缝。
在您的Google账户上设置密钥
谷歌在2022年的世界密码日期间宣布实施密钥。目前,用户可以选择启用密钥选项,来替代原有的基于密码的身份验证。接下来,我们将介绍在现有Google账户上激活密钥的步骤指南。
至此,您已成功激活密钥,可以摆脱密码的束缚了。
在移动设备(Android)上激活密钥
密码是否已经消亡?
目前,接受这项新技术需要时间,就像其他技术一样。因此,可以预见,密码在短时间内仍然会被广泛使用。然而,随着越来越多的公司加入无密码趋势并使用密钥,密码最终可能会被淘汰。
结论
密钥是一项备受期待的技术。公钥就像一把公开的锁,任何人都可以访问它,但只有拥有正确的私钥的人才能将其打开。从长远来看,使用密钥实现无密码的好处将远远大于其缺点。
随着越来越多的公司采用密钥作为身份验证方式,一旦人们充分了解它的优势,就会有更多的人开始使用它。
接下来,您可以了解如何在应用程序上实施密钥/FIDO身份验证。