万能钥匙与密码:有什么区别?

已发表: 2023-10-25

无论您使用最好的密码管理器之一,还是只是在皱巴巴的便利贴上写下您的详细信息,必须记住一百万个不同安全短语的日子可能很快就会结束。 这是因为万能钥匙很快就成为苹果、谷歌、微软和现在的亚马逊等硅谷重量级企业首选的身份验证方法。

从提供更流畅的登录体验到针对恶意软件和网络钓鱼诈骗等威胁的更强大的网络安全保护,密钥的好处是显而易见的。 然而,尽管传统密码存在缺陷,但它不会在一夜之间消失,这会让许多用户自行决定如何保护自己的帐户。

无论您是密码传统主义者还是生物识别支持者,我们都会对这两种身份验证方法进行面对面的比较,比较它们的安全性、便利性、登录成功率等。 请继续阅读,了解密钥与密码之争的进展情况,并了解它对您的在线生活意味着什么。

什么是密码?

密码是一串唯一的字符串,通常由大小写字母、数字和符号组成,用于确认用户的身份。 它们被设计为可手动记忆或登录,但现在可以使用NordPass等密码管理器安全地在线存储。

冲浪鲨标志 想要私密地浏览网页吗? 或者看起来好像您在另一个国家?
通过 Tech.co 黑色星期五优惠,Surfshark 可享受 86% 折扣,并可享受长达 5 个月的免费试用。 查看交易按钮

密码最初由麻省理工学院计算机科学教授于 1961 年发明,由于其简单性而成为迄今为止最流行的数字身份验证形式。 然而,它们不复杂的性质也使它们容易被猜测、共享、被盗或遗忘,从而使它们总体上成为一个相当差的安全机制。

什么是万能钥匙?

输入密码——密码中更酷、更懂技术的小兄弟。 万能钥匙依靠 PIN、刷卡模式或生物识别信息(例如指纹或面部扫描)来验证用户的身份。

密钥使用 WebAuthn 标准进行公钥加密,该标准在用户设备上生成公钥-私钥对。 因此,它们不会像密码或物理钥匙一样被盗或遗忘。

密钥与密码:哪个更安全?

密钥和密码安全性在设计、方法和有效性方面有着根本的不同。 我们详细分析了以下身份验证措施之间的一些关键差异。

密码网络安全处于不同的水平

密码很容易被破解,这已不是什么秘密。 根据Hive Systems的研究,10个字符以下的简单密码可以在24小时内被猜出,而6个字符以下的简单密码可以立即被破解。

如果密码卫生一直很高,这不会是一个主要问题,但事实并非如此。 事实上,最常见的密码年复一年地仍然是“password”,85% 的人承认在多个网站上重复使用密码。

幸运的是,通过利用几乎不可能伪造的生物识别数据和加密方法,万能钥匙能够解决许多网络安全问题。

只有能够访问您的身份验证设备和生物识别信息的黑客才能够破坏您的帐户,从而使密钥被破坏的情况几乎闻所未闻。 这也使得密钥完全免受网络钓鱼攻击,因为密钥无法输入或写下来,并且被盗的凭据仅在特定的用户拥有的设备上使用时才有效。

德勤的研究将 91% 的网络攻击归因于网络钓鱼,密钥可以为企业和个人用户带来的优势是显而易见的。

密钥更方便

没有人喜欢创建、记住和使用笨拙、复杂的密码。 这是乏味、耗时且不方便的。 人们甚至创造了一个短语来描述人们在日常生活中必须记住过多密码时所感受到的痛苦:密码疲劳

另一方面,万能钥匙只需要用户最初设置一次私钥,这样他们就可以在此之后无缝、快速地验证自己的身份。 这不仅加快了登录过程,还意味着用户不再需要同时记住多个不同的密码。

密码登录成功率更高

除非您使用密码管理器,或者拥有爱因斯坦般的过目不忘的记忆力,否则您偶尔会忘记密码。 忘记密码将使您更难输入帐户,如果多次输入错误的凭据,甚至可能导致您的帐户被阻止。

相比之下,万能钥匙的登录成功率要高得多,因为虽然很容易忘记复杂的代码,但很难忘记自己的生物识别材料。 Google 最近的数据支持了这种区别,该数据显示,虽然该平台上密码的平均成功率为 13.8%,但密钥的成功率为 63.8%。

总体而言,密码仍然更受欢迎

万能钥匙变得越来越普遍,但它们仍然没有得到普遍支持。

WebAuthn 身份验证与大多数平台兼容,但有多种原因导致网站在摆脱密码方面进展缓慢。 首先,密码是熟悉的。 每个人都知道它们是什么以及它们如何工作,因此坚持使用它们可以减少对员工培训或客户解释员的需求。

其次,由于验证方法仍处于起步阶段,许多网站抱怨其跨平台一致处理错误的能力。 具体来说,它在 Chrome 和 Firefox 浏览器上的错误处理并不像在 Safari 上那样全面,这阻止了许多网站进行转换。

此外,虽然密码学在很大程度上被认为是非常安全的,但对生物识别隐私的担忧也阻止了许多员工和消费者对这种方法的热情。 您可以使用 passkeys-directory 来详细了解哪些网站支持和不支持使用 passkeys 的 passkeys。

密码的消亡将是一个缓慢的过程

当谈到密码与万能钥匙之争时,确实没有争论——万能钥匙更加精简、用户友好,当然也更加安全。

然而,虽然谷歌关于它是“密码结束的开始”的说法可能是正确的,但我们不应该指望这种变化会在一夜之间发生,甚至在未来几年内发生。 当然,现在设置谷歌密码很容易,但更换主导了半个多世纪的计算机安全系统将需要时间。

万能钥匙仍然是一个相对较新的概念,在普遍部署之前,该技术的许多方面都需要完善。 此外,人类是习惯性动物,自电脑诞生以来就一直依赖密码,因此我们也需要考虑行为变化的速度。

目前,很少强制使用密钥,因为大多数使用密钥的服务器仍然会让您选择要使用的验证措施。 对于仅支持密码保护的网站,我们绝对建议外包密码创建和存储,特别是因为有很多免费测试密码强度的好方法。