密码已成为过去,密钥才是未来。
也许人们已经有过这种感觉,或者已经想象过了。当意识到刚刚把登录证书输入了一个假网站的那一刻,你会感到恐慌。也许你马上就意识到了。又或者你在第二天返回后无法登录时才意识到这一点。也许意识到这一点是因为你的银行账户被清空了。无论如何意识到或想象到它,它都不是想要的感觉。
但想象一下再也不用担心,这就是密钥和无密码身份验证所能带给您的体验。
为什么密钥更好
人们每天都在接近一个无密码的世界。我们都随身携带着可以用来轻松宣布身份的设备,通常是通过指纹或面部扫描。所有的新笔记本电脑都有指纹识别器。密码利用这些新技术大大提高了您的帐户的安全性。苹果已经在他们的生态系统中引入了密码,微软和谷歌很快也会发布他们的版本。
为什么说密钥是一种更好的解决方案,原因有很多,但归根结底有两点。
密钥不共享任何秘密信息
这就是密钥比密码更安全的最大原因。有了密钥,密码就不再是威胁的载体了。
密码占所有安全漏洞的80%以上。密钥几乎可以将这种威胁降低到零。你不能重复使用你的密码。你不需要记住它们。它们是为您生成和存储的,因此您不必担心自己创建和存储它们。你不可能被引诱放弃它们,因为它们是特定网站独有的,因此不能与钓鱼网站共享。
与每个密钥相关联的敏感数据永远不会离开您的设备。这些信息存储在你手机上的一个特殊芯片(可信平台模块)上,即使是美国国家安全局也可能无法破解。如果你在一个使用像Passage这样的无密码解决方案的网站上注册,该网站除了一个公钥什么也得不到,这对破解你的账户毫无用处。虽然苹果允许你通过AirDrop与他人共享你的账户,但如果你想,你甚至不能与钓鱼网站共享实际的私钥。
密钥是更好的用户体验
在网站上注册一个帐户可能是一件麻烦事。通常情况下,你必须想出一个符合各种标准的密码,以使其难以被猜出。通常情况下,用户必须从您的站点进行上下文切换,才能从他们的手机或电子邮件中获得一个六位数的数字。超过30%的网上购物车被放弃,因为注册账户很麻烦,或者因为用户不记得密码。密码管理器可以帮助解决这种情况,但对于许多人来说,使用起来可能很复杂。整个体验需要改进。
多因素身份验证(MFA)可以提高基于密码的系统的安全性,但这样做的代价是降低用户体验。MFA要求用户切换上下文,通常是通过转到另一个应用程序获取一个六位数的数字。我知道我经常摸索着找到我的手机来获取一次性密码。
相反,密钥注册需要生物识别系统验证——就像触摸指纹或瞥一眼相机一样简单——以及一次性设备审批。之后,登录就像生物识别验证一样简单。用户无需输入复杂的密码、抓取一次性密码代码或查看电子邮件,只需几秒钟或更短的时间即可登录。
密钥实际上是使用MFA,要求你提供你所拥有的东西(你的设备)和你自己的东西(例如,你的脸或指纹)。
密钥只会越来越好。最终,你甚至不需要输入密码或电话号码就可以登录。相反,登录输入框只会知道您的设备有给定域的密钥,并会自动提示您。
让我们这样做
人们还记得银行手机应用程序允许采用指纹登录,而不是输入复杂的(而且最终并不安全,不管它有多复杂)密码时那种美妙的感觉。这无疑是一个自由的时刻。当你的用户访问你的网站或登录你的移动应用程序时,你希望他们这样做,不是吗?见鬼,你每次都想要这样。
最终,密码显得几乎不可利用,而且方便得多。