萬能鑰匙與密碼:有什麼差別?

已發表: 2023-10-25

無論您使用最好的密碼管理器之一,還是只是在皺巴巴的便利貼上寫下您的詳細信息,必須記住一百萬個不同安全短語的日子可能很快就會結束。 這是因為萬能鑰匙很快就成為蘋果、谷歌、微軟和現在的亞馬遜等矽谷重量級企業首選的身份驗證方法。

從提供更流暢的登入體驗到針對惡意軟體和網路釣魚詐騙等威脅的更強大的網路安全保護,金鑰的好處是顯而易見的。 然而,儘管傳統密碼有缺陷,但它不會在一夜之間消失,這會讓許多用戶自行決定如何保護自己的帳戶。

無論您是密碼傳統主義者還是生物辨識支持者,我們都會對這兩種身分驗證方法進行面對面的比較,比較它們的安全性、便利性、登入成功率等。 請繼續閱讀,了解密鑰與密碼之爭的進展情況,並了解它對您的線上生活意味著什麼。

什麼是密碼?

密碼是一串唯一的字串,通常由大小寫字母、數字和符號組成,用於確認使用者的身份。 它們被設計為可手動記憶或登錄,但現在可以使用NordPass等密碼管理器安全地在線上儲存。

衝浪鯊標誌 想要私密地瀏覽網頁嗎? 或看起來好像您在另一個國家?
透過 Tech.co 黑色星期五優惠,Surfshark 可享 86% 折扣,並可享長達 5 個月的免費試用。 查看交易按鈕

密碼最初由麻省理工學院計算機科學教授於 1961 年發明,由於其簡單性而成為迄今為止最受歡迎的數位身份驗證形式。 然而,它們不複雜的性質也使它們容易被猜測、共享、被盜或遺忘,從而使它們總體上成為一個相當差的安全機制。

什麼是萬能鑰匙?

輸入密碼-密碼中更酷、更懂技術的小兄弟。 萬能鑰匙依靠 PIN、刷卡模式或生物辨識資訊(例如指紋或臉部掃描)來驗證使用者的身分。

金鑰使用 WebAuthn 標準進行公鑰加密,該標準在使用者裝置上產生公鑰-私鑰對。 因此,它們不會像密碼或實體鑰匙一樣被盜或遺忘。

金鑰與密碼:哪個比較安全?

金鑰和密碼安全性在設計、方法和有效性方面有著根本的差異。 我們詳細分析了以下身份驗證措施之間的一些關鍵差異。

密碼網路安全處於不同的水平

密碼很容易被破解,這已不是什麼秘密。 根據Hive Systems的研究,10個字元以下的簡單密碼可以在24小時內被猜出,而6個字元以下的簡單密碼可以立即被破解。

如果密碼衛生一直很高,這不會是一個主要問題,但事實並非如此。 事實上,最常見的密碼年復一年地仍然是“password”,85% 的人承認在多個網站上重複使用密碼。

幸運的是,透過利用幾乎不可能偽造的生物辨識資料和加密方法,萬能鑰匙能夠解決許多網路安全問題。

只有能夠存取您的身份驗證設備和生物識別資訊的駭客才能夠破壞您的帳戶,從而使密鑰被破壞的情況幾乎聞所未聞。 這也使得密鑰完全免受網路釣魚攻擊,因為密鑰無法輸入或寫下來,並且被盜的憑證僅在特定的用戶擁有的裝置上使用時才有效。

德勤的研究將 91% 的網路攻擊歸因於網路釣魚,密鑰可以為企業和個人用戶帶來的優勢是顯而易見的。

密鑰更方便

沒有人喜歡創造、記住和使用笨拙、複雜的密碼。 這是乏味、耗時且不方便的。 人們甚至創造了一個短語來描述人們在日常生活中必須記住過多密碼時所感受到的痛苦:密碼疲勞

另一方面,萬能鑰匙只需要用戶最初設定一次私鑰,這樣他們就可以在此之後無縫、快速地驗證自己的身份。 這不僅加快了登入流程,也意味著使用者不再需要同時記住多個不同的密碼。

密碼登入成功率更高

除非您使用密碼管理器,或擁有愛因斯坦般的過目不忘的記憶力,否則您偶爾會忘記密碼。 忘記密碼將使您更難輸入帳戶,如果您多次輸入錯誤的憑證,甚至可能導致您的帳戶被封鎖。

相較之下,萬能鑰匙的登入成功率要高得多,因為雖然很容易忘記複雜的程式碼,但很難忘記自己的生物辨識材料。 Google 最近的數據支持了這種區別,該數據顯示,雖然該平台上密碼的平均成功率為 13.8%,但密鑰的成功率為 63.8%。

總體而言,密碼仍然更受歡迎

萬能鑰匙變得越來越普遍,但它們仍然沒有得到普遍支持。

WebAuthn 身份驗證與大多數平台相容,但有多種原因導致網站在擺脫密碼方面進展緩慢。 首先,密碼是熟悉的。 每個人都知道它們是什麼以及它們如何運作,因此堅持使用它們可以減少對員工培訓或客戶解釋員的需求。

其次,由於驗證方法仍處於起步階段,許多網站抱怨其跨平台一致處理錯誤的能力。 具體來說,它在 Chrome 和 Firefox 瀏覽器上的錯誤處理並不像在 Safari 上那樣全面,這阻止了許多網站進行轉換。

此外,雖然密碼學在很大程度上被認為是非常安全的,但對生物辨識隱私的擔憂也阻止了許多員工和消費者對這種方法的熱情。 您可以使用 passkeys-directory 來詳細了解哪些網站支援和不支援使用 passkeys 的 passkeys。

密碼的消亡將是一個緩慢的過程

當談到密碼與萬能鑰匙之爭時,確實沒有爭論——萬能鑰匙更加精簡、用戶友好,當然也更加安全。

然而,雖然谷歌關於它是「密碼結束的開始」的說法可能是正確的,但我們不應該指望這種變化會在一夜之間發生,甚至在未來幾年內發生。 當然,現在設定Google密碼很容易,但更換主導了半個多世紀的電腦安全系統將需要時間。

萬能鑰匙仍然是一個相對較新的概念,在普遍部署之前,該技術的許多方面都需要完善。 此外,人類是習慣性動物,自電腦誕生以來就一直依賴密碼,因此我們也需要考慮行為變化的速度。

目前,很少強制使用金鑰,因為大多數使用金鑰的伺服器仍然會讓您選擇要使用的驗證措施。 對於僅支援密碼保護的網站,我們絕對建議外包密碼建立和存儲,特別是因為有很多免費測試密碼強度的好方法。