共计 2932 个字符,预计需要花费 8 分钟才能阅读完成。
密钥被誉为密码的替代品,但现实却比想象中复杂得多。尽管如此,转向密钥仍然是明智之选。以下是原因。
最终,我决定接受密钥,但为什么感觉如此别扭?
众所周知,密钥是科技行业对 密码问题 的解决方案。与可能被泄露、钓鱼、quished、vished和 smished 的密码数据不同,密钥需要一个加密的私钥,理论上只有你拥有。
密钥被视为现代凭证安全的顶峰,所有人都应该使用它们。或者至少,这是那些我们最喜欢的网站不断唠叨的信息。
但事实并非如此。现实远比应有的混乱得多。
我正在转向密钥
慢点,伙计。你显然不会“转向”密钥。大多数时候,你只是添加它们。听我说。我将尝试解构一些炒作,并分享我对这些过度扩张的野兽在我们凭证安全基础设施中的位置的理解。
让我们从最近的一次数字冒险开始。
在被我每天使用的多个网站唠叨了太多次之后,我最近决定屈服。我决定“转向”密钥。那时,我错误地认为密钥是替代我们几十年来使用的用户名 / 密码模式。
实际上,大约两年前,我短暂尝试过密钥,但几乎立即放弃了。那正是它们刚开始被采用的时候,作为一个专业的早期采用者,我认为我应该跟上潮流。那次经历是一团糟。我很快就放弃了。
现在,距离那次尝试已经过去几年了。我的网站开始不断唠叨我关于密钥的事情。我天真地认为,自从我那次不幸的尝试以来,大多数最糟糕的挑战一定已经被克服了。当然,随着这么多面向消费者的网站推动普通人使用密钥,这项技术一定已经准备好迎接黄金时段了。
另见:如何通过我的密码管理器轻松设置密钥——以及为什么你也应该这样做
我从一家知名的金融机构开始。我之前的登录方式是用户名和密码,结合我的认证应用进行双因素认证。
按照网站的指示,我实现了密钥登录。过程相当顺利。几分钟内,我就能用密钥登录了。
那时,我决定从我的认证应用中删除认证密钥,因为我已经升级到密钥,不再需要认证代码了。毕竟,升级到密钥的部分原因是为了消除登录时的所有额外工作,对吧?
但后来我再次尝试登录。我没有被锁在外面。相反,我得到了用密码或密钥登录的选择。出于好奇,我尝试用用户名和密码登录。那成功了。但当然,我没有被要求认证,因为我在不久前关闭了那个重要的安全功能。
嗯。好吧。那家金融机构允许我删除认证方法,但显然,我的用户名和密码仍然与我的账户关联。在设置中无论怎么挖掘,我都无法删除我的密码并完全转向密钥。
感到困惑和相当恼火,我回到我的账户,重新启用了认证密钥,并想知道我为什么要费心使用密钥。
向朋友求助
游戏节目《谁想成为百万富翁?》有一个叫做“打电话给朋友”的功能。其理念是,如果参赛者被问到一个太难回答的问题,玩家可以打电话给朋友寻求建议。
另见:如果你的密钥设备被盗了怎么办?如何在我们无密码的未来中管理风险
与 ZDNET 合作时,我最喜欢的方面之一是我每天与一些最了解科技主题的专家一起工作。所以我决定在 Slack 上联系我们的密钥专家 David Berlind。他写过 关于密钥的整个系列,我认为这是任何生活在 21 世纪并使用互联网的人的必读内容。
Berlind 非常友好地跳上 Slack 语音聊天,花了将近一个小时的时间向我解释密钥的真正工作原理。
事实证明,密钥之所以如此混乱,是因为每个网站都以不同的方式实现它们。在密钥术语中,你认证的每个网站被称为“依赖方”。密钥本身是 FIDO2 凭证 的昵称。顺便说一句,如果我在这里有什么错误,那不是 Berlind 的错。我是根据我的笔记复述他告诉我的内容,这些笔记可能和行业对密钥本身的实现一样有缺陷。
所以,是的。每个网站都以不同的方式实现它们,并实现了从密码到密钥的不同“过渡路径”。一些网站只允许你用密钥登录。一些网站会让你从密码切换到密钥。而一些网站,比如上述的金融机构,两者都保留。
另一个奇怪之处是,一些网站允许你在所有设备上使用相同的密钥。其他网站,尤其是 PayPal,要求你在每个设备上设置不同的密钥。这些被称为“设备绑定密钥”。如果你从 Mac Studio、MacBook Air 和 iPhone 访问 PayPal,你将需要三个独立的密钥。
现在,这里会让你大脑冻结。
PayPal 要求设备绑定密钥,他们这样做可能是为了对你的安全格外谨慎。但想想这个。如果你将密钥添加到 MacBook Air 并删除密码访问,你将如何在 Mac Studio 和 iPhone 上添加新的设备绑定密钥?
另见:如何在 iPhone、iPad 和 Mac 上设置和使用密钥
是的,你需要用用户名和密码登录,然后为新设备设置密钥。但由于你几乎总是需要添加新设备的选项(例如,如果你今年秋天升级你的 iPhone),你将总是需要用户名和密码访问 PayPal。
这似乎违背了密钥的目的,即提供一种更好、更安全、更不易被破解的认证形式。
当我向 Berlind 提出这个悖论时,他给出了一些明智的建议。
ZDNET 的建议
纯粹出于病态的好奇心,我问 ChatGPT:“为什么密钥这么糟糕?”它回答:
密钥不一定“糟糕”——它们比密码安全得多——但在实践中它们感觉破碎,因为生态系统锁定、跨平台可用性差和恢复过程混乱。随着采用率的增长和工作流程的成熟,它们可能会变得更好。
(披露:ZDNET 的母公司 Ziff Davis 在 2025 年 4 月对 OpenAI 提起诉讼,指控其在训练和操作其 AI 系统时侵犯了 Ziff Davis 的版权。)
这与我从 Berlind 那里学到的内容一致。他告诉我,他使用密钥用于任何提供密钥的依赖方。除了更容易登录这些网站外,他还有一个有趣的原因:防止钓鱼。
他说,如果他登陆一个他知道自己使用密钥的网站,而该网站要求他用用户名和密码登录,那么该网站实际上可能是假的。密钥请求本质上是一个验证机制,确保你登陆的是你打算登陆的网站。这是因为骗子无法收获密钥。好吧,他们可以,但由于私钥加密,他们收获的任何东西都无法使用。
所以,使用密钥可以帮助你为钓鱼尝试设置情境意识陷阱。
至于我,我决定如果网站提供密钥认证,我将添加它。至少,这将阻止像亚马逊这样的网站不断唠叨我。但它也将提供 Berlind 推荐的钓鱼意识保护,并让我习惯于使用和容忍密钥。
我建议你也这样做。跟踪你现有的用户名和密码。确保你在任何可能的地方设置多因素认证,并跟踪那些恢复代码。但也添加密钥作为安全、认证和过渡准备的双重保障。
要小心。密钥提供的虚假安全感可能会让你在不受保护时认为自己受到了保护。不要以为实现密钥就可以删除双因素认证保护。要知道,如果仍然存在用户名和密码系统,实现密钥的行为不会直接增加你的账户保护。对于提供双因素认证的账户,你仍然应该使用它。它们提供它是有充分理由的。
似乎只要你按照我们都被训练的方式保护你的用户名和密码,添加密钥不会有什么坏处。它只是让登录变得更简单。很明显,这是未来的方式。我只是希望它不是如此混乱、复杂、不一致和令人困惑的未来的预兆。但这就是进步,对吧?对吧?
