密码对您的互联网安全至关重要。但是,由于有这么多的在线和离线服务,很难跟踪您的密码。无密码登录系统开始兴起,不再需要您每次登录服务时都输入密码。
但是,如果您不使用密码,那么如何保护帐户安全?什么是无密码登录,它们是否安全?
什么是无密码登录?
无密码登录是一种身份验证系统,它使用密码替代方法来启用对帐户的访问。例如,您收到的是电子邮件通知,而不是密码,它充当登录令牌。或者,您可能会在智能手机上看到一个弹出窗口,允许您控制对帐户的访问。
在这种情况下,无密码登录通常使用预先存在的身份验证形式来保证您的身份。
您可能已经使用Gmail帐户进行了无密码登录。 Google无需在每次登录时都输入密码,而是可以直接向您的手机发送提示。提示会显示尝试登录的时间和位置,并带有允许或拒绝登录的选项。
无密码登录如何工作?
登录网站时,您必须提供密码才能解锁帐户。密码仅对您和网站有用,可确保您的帐户安全。您相信该网站将保护您的密码安全,安全地存储密码,并且该网站本身不容易受到攻击。
此外,您肯定已经为每个网站和服务使用了强大的唯一密码,因为那是最安全的做法。
但是,后者变得困难。为每个站点创建一个强大的一次性密码,已经看到用户创建易于记忆但可怕的密码。即使您确实创建了安全密码,但每月浏览一次数据泄露次数也可能会破坏您的工作。
使用无密码身份验证,您不必用密码来信任网站。无密码登录使用每次身份验证方法,而不是每次都输入密码。
当前最常见的无密码登录系统是通过电子邮件。许多用户会发现基于电子邮件的无密码登录是最熟悉的系统,其工作方式类似于密码重置。
尝试登录时,您会提供一个电子邮件地址。该服务将安全的电子邮件发送到与该帐户关联的地址,并且该电子邮件包含一个安全的,一次性使用的魔术链接,用于输入您的服务帐户。魔术链接包括服务验证的唯一登录令牌,将其交换为长期验证令牌。
电子邮件系统上还有其他变体。例如,在现有帐户的情况下,服务可以向用户发送绑定到其帐户详细信息的一次性DKIM密钥代码。用户收到DKIM代码并将其输入网站。该站点根据现有的用户详细信息验证代码,并完成登录过程。
在这种情况下,用户输入有效的电话号码。该服务将一次性代码发送到电话号码。然后,用户可以登录到服务。另外,某些服务可以“自动呼叫"用户,其中文本语音转换服务将直接读取代码。
SMS安全性正在审查中。我们绝大多数人无需担心。但是,一些高价值个人(尤其是拥有大量加密货币的个人)遭受了SMS sim黑客攻击。准确检查一下什么是sim卡交换攻击以及如何防范。
某些无密码登录方法使用生物特征识别扫描服务来验证您的身份。生物特征认证服务比以往任何时候都具有更多的功能。 (您应该为智能手机切换到生物识别服务吗?)
该想法是,当您要访问网站时,智能手机上会出现提示。您可以使用首选的生物识别系统对智能手机进行解锁,并且解锁操作可以验证您的身份。
但是,除了Apple的Face ID(对于包括并在iPhone X,iPad Pro第三代之后生产的设备,和iPod Touch第七代产品),移动设备生物特征识别扫描并不完全安全。
其他制造商的面部扫描硬件还不那么先进,并且被照片欺骗了,但是需要完整的3D打印和上漆欺骗苹果的Face ID。在其他情况下,指纹扫描仪允许部分识别以解锁设备。
当前,无生物特征的无密码登录系统可能不是最佳选择。但是,将来它可能会成为最佳选择。
物理安全密钥提供了另一种无密码登录身份验证选项。物理安全密钥是特殊的USB安全密钥。当您要访问帐户时,请将安全密钥插入计算机。在线服务通过安全密钥验证您的帐户,无需密码。
物理安全密钥的主要示例包括Google的Titan系列和Yubico的Yubikey系列。
Are Passwordless像两因素身份验证一样登录?
是,否。
是,无密码登录类似于两因素身份验证(2FA),因为您使用替代身份验证来访问帐户方法。 2FA通过使用两个单独的因素(通常是密码和单独的设备)来保护帐户的安全。
不,这是不一样的,因为尽管您使用的是单独的设备来对帐户进行身份验证,但仍然仅一个因素。
无密码登录是否更安全?
任何阻止用户创建可怕密码的措施都是对的吗?无密码登录消除了最终用户的另一个失败点。目前,无密码登录尚未普及。几个主要的服务正在使用它们,例如Gmail(如上所述)和Slack Magic Links。
对于网站所有者和主持人来说,最大的好处就是突然不必处理用户密码。明文文件中存储的未加密密码是噩梦。这是黑客梦the以求的东西。很少访问服务的用户也不必经历“重设密码"一词。
无密码登录也可以帮助用户快速登录该服务。相反,如果您定期退出该服务,则根据时间长短,不得不通过电子邮件或SMS重新授权可能会很烦人。
现在,请使用密码管理器
无密码登录将需要时间成为主流。球在滚动。大多数主流浏览器(除Safari以外的所有浏览器)都支持一种或另一种无密码登录。 Google在2019年2月还宣布,运行Android 7(即Android Nougat)或更高版本的设备也将获得无密码登录支持。
这意味着几乎50%的所有Android设备都支持无密码登录。无密码登录标准(例如FIDO2和WebAuthn)将继续接收更新,从而进一步确保身份验证方法的安全性。
在撰写本文时,您仍然需要密码。您需要一个强大的一次性密码。考虑到这一点,为什么不考虑使用密码管理器?
