密鑰是新的、安全的并且易于使用。然而，關于它們的工作方式存在很多困惑。這篇文章消除了許多誤解。

正確地拒絕改變

密碼管理是很多人都非常關心的事情。許多人不喜歡密碼并希望有更好的方法。但是其他人有一個圍繞他們的密碼安全構建的可靠系統，并且理所當然地對聲稱可以改進他們所擁有的系統的系統持懷疑態度。他們有充分的理由喜歡他們當前的設置，并且不愿更改對他們有用的設置。那是明智的。

密碼輸入圖片

因此，許多人對萬能鑰匙持懷疑態度，這是 FIDO 聯盟的新協議，旨在顯著提高登錄網站和移動應用程序的安全性、安全性和用戶體驗。

密碼已由 Apple 正式宣布，并由 Google 放入 Chrome 和 Android 的開發人員構建中。微軟也在準備它的版本。這三個公司之所以對采用至關重要，是因為它們代表了絕大多數設備、計算機、瀏覽器和操作系統。如果這三個人都同意某件事，那么很可能是有道理的。

我看了評論

自從 Apple 和 Google 都宣布支持密碼以來，已經有很多文章描述了密碼、它們的工作原理以及科技巨頭將如何支持它們。許多人提供了豐富的信息，但也有一些人令人困惑。

據說你永遠不應該看評論，但我看過。并且說對密碼存在一些困惑、恐懼和誤解有點輕描淡寫。

我已經寫過為什么我們需要萬能鑰匙、它們如何工作以及為什么它們是比密碼更好的解決方案。為了繼續這個主題，我將寫下我看到的一些關于萬能鑰匙的誤解。

1. 某處還會有密碼嗎?

人們似乎認為系統中的某個地方仍然會有密碼備份。有些人這樣說是因為他們希望這是一種真正的恢復方法，但其他人擔心這是真的，認識到它不會真正改善情況。

WebAuthn協議不——也不應該——要求在系統的任何地方使用密碼。不應該，因為要求密碼會破壞目的并導致系統繼續“易受網絡釣魚”，因此不會比我們今天擁有的系統更安全。沒有密碼備份，因為沒有必要。

現在，隨著網站和應用程序遷移到無密碼和基于密鑰的解決方案，它們可能會保留密碼身份驗證。盡管如此，這并不是必需的，并且預計密碼最終會完全消失。

2.登錄需要藍牙嗎?

一些文章錯誤地暗示需要藍牙連接才能完成密碼登錄。

這不是真的。雖然藍牙在確保主要科技公司生態系統之間基于密碼的身份驗證傳輸方面發揮著重要作用，但簡單的登錄過程并不需要它。您的手機不必在藍牙范圍內即可登錄你的電腦。如果你想將密鑰傳輸到另一臺設備或從另一臺設備傳輸密鑰，你的手機必須在范圍內——這是一項安全功能。

3. 我可以注冊我的設備一次，它會在任何地方登錄我

有些人得出的結論是，您可以在 Apple、Microsoft 或 Google 注冊您的手機或計算機，它在任何地方都可以使用。這導致了諸如“當我訪問一個要求我輸入密碼的網站時會發生什么?”這樣的問題。如果能那樣工作就好了。但是，每個網站都必須自己實施無密碼技術，作為用戶，您將不得不像今天一樣在每個網站或移動應用程序上注冊一個帳戶。

4. 如果壞人拿到我的手機，他們能訪問我的所有帳戶嗎?

實際上，如果壞人拿到了你的手機，他們幾乎不可能得到任何東西。首先，他們不會獲得您的生物特征信息，因此甚至無法解鎖您的手機。其次，所有秘密密鑰信息都存儲在可信平臺模塊中，專門設計用于以幾乎無法滲透的方式保存您的密鑰秘密。(好吧，也許 NSA 或類似的組織可以參與其中，但我不能肯定地說……)

所以您可以放心，即使是最老練的黑客，您的手機也不會泄露您的登錄信息。

5. 如果我沒有手機，我是不是運氣不好?

人們擔心，如果他們在朋友家或圖書館的電腦上沒有手機，他們將無法登錄。

密鑰協議沒有解決這種情況，但大多數供應商會——而且應該——提供第二個安全登錄選項。通常，這是一個“魔術鏈接”——一個一次性的、過期的鏈接，可以讓你登錄——發送到您的電子郵件地址。只有您有權訪問您的電子郵件，因此該鏈接將使您安全地登錄到全球任何一臺計算機。

6. 如果我丟了手機，我是不是倒霉了?

這是部分正確的。有點。

萬能鑰匙的好處之一是它們承諾在每個大型科技公司的給定生態系統內跨設備共享。這意味著如果您丟失了手機，您的密鑰將安全地存儲(通過端到端加密)在云端。當您拿到新手機時，它們可以恢復。

但是，您可以選擇不將密鑰共享到云中，如果您這樣做并且只有一臺設備，那么是的，密鑰將會丟失，并且您必須在訪問的每個站點上重新注冊。

這里的正常用例是用戶決定通過云(以安全加密的方式)在他們的設備之間共享他們的密鑰，因此更換電話不是問題。

7. 如果我的生物特征被泄露怎么辦?

有些人似乎擔心，如果他們受到威脅，他們將無法更改他們的生物特征。(密碼可以改，指紋不能改……)

這些人是對的——你不能改變你的生物特征。然而，目前尚不清楚它們被破壞究竟意味著什么。您的生物識別數據永遠不會離開您的手機。它被轉換為數學哈希值并使用存儲在 TPM 中的密鑰進行加密。只有帶有指紋的手機才能獲取密鑰并驗證指紋。您的生物識別數據無法在手機以外的任何地方存儲和解密。

好得令人難以置信?

我不會說萬能鑰匙好得令人難以置信，但我會說它們在身份驗證安全方面向前邁出了一大步。如果說密碼的威脅面是一片浩瀚的湖泊，那么密鑰的威脅面就是傾盆大雨后的一個小水坑。雖然沒有系統應該被認為是堅不可摧的，但似乎沒有人能夠想到一種方法可以在量子計算打破當前加密方案的短期內破壞密鑰。

在一些極端情況下，某些人可能無法接受。例如，生物識別技術不受美國第四修正案的保護，但密碼受保護。另一件需要考慮的事情是，雖然谷歌/蘋果/微軟永遠無法讀取您的憑據，但人們擔心這些公司將能夠追蹤您注冊帳戶的地點。這就是為什么像1Password這樣的第三方公司正在尋找提供密鑰存儲和傳輸服務的方法。

底線：對于絕大多數人來說，密碼安全、方便，而且效果很好。雖然我理解改變現狀的猶豫，但這是一個改變對每個人都有利的例子。