密码在数据泄露中泄露,并在暗网上可用,从而允许其他人
While both magic links and passkeys are methods of passwordless authentication, they’re not exactly the same. Some of the key differences between magic links and passkeys are how they work, their security, where a website server stores them and whether or not they expire after being used to log in to an account.
继续阅读,详细了解神奇链接和通行密钥有何不同和相似之处。
什么是神奇链接?
神奇链接是一种无密码登录方式,用户在登录门户输入用户名或电子邮件地址后,系统会通过电子邮件或短信向其发送链接。 发送给用户的链接被称作神奇链接。 用户点击该神奇链接后,他们会自动登录自己的帐户,无需输入密码。 神奇链接也通常被用作多因素身份验证 (MFA) 方式。
个人使用魔法链接登录帐户的前提是,网站或应用程序必须支持此类使用。
什么是通行密钥?
通行密钥是一种新型无密码登录方式,用户可以用指纹、面部识别或输入 PIN 等与解锁设备相同的方式验证自己的身份。 通行密钥由一个公钥和一个私钥组成,在用户访问自己的帐户之前,需要使用两者来验证用户的身份。 公钥存储在公司服务器中,而私钥本地存储在用户的设备上。 用户使用通行密钥登录帐户时,系统会提示他们使用自己的生物识别信息或输入设备 PIN,无需手动输入密码。
如需开始使用通行密钥,您要使用通行密钥的网站或应用程序必须支持通行密钥。
神奇链接和通行密钥之间的主要区别
以下是神奇链接和通行密钥之间的一些主要区别。
运作原理
神奇链接与通行密钥的运作方式截然不同。 使用神奇链接登录帐户时,用户的电子邮件或短信会收到一个链接。 用户点击该链接后,他们就会登录自己的帐户。 使用神奇链接登录帐户通常要求用户瞬间切换选项卡、应用程序或设备。 若使用通行密钥,用户的电子邮件或短信不回收到任何信息。 相反,他们可以使用生物识别信息或设备 PIN 立即登录帐户。
安全
通行密钥的安全性默认比较强。 通行密钥不像神奇链接那样容易被盗,因为它们是基于 WebAuthn 标准构建的,该标准使用公钥加密技术来验证用户的身份。 若要访问启用通行密钥的帐户,用户需要随身携带“身份验证器”才能登录。 身份验证器是个人用来创建自己的通行密钥的设备,可以是手机、平板电脑、计算机或密码管理器。
另一方面,神奇链接可能不安全。 如果个人的电子邮件帐户未使用强密码和 MFA,网络犯罪分子将能够轻松入侵该帐户并访问神奇链接,登录用户的其他帐户。 通过短信发送的神奇链接也容易遭到 SIM 交换攻击的破解。 如果网络犯罪分子说服您的移动运营商激活新 SIM 卡,就会发生 SIM 交换攻击。 如果网络犯罪分子能够成功说服您的移动运营商激活一张新 SIM 卡,他们就会收到您所有的短信和来电,这意味着他们能够使用发送至您的电话号码的神奇链接和密码重置登录您的帐户。
存储
为网站或应用程序创建通行密钥时,通行密钥的公钥部分始终存储在公司的服务器中。 必须要了解的是,即使服务器存储公钥,但如果没有本地存储在用户设备上的相应私钥,公钥也毫无用处。 神奇链接的令牌只会在很短的时间内存在于公司的服务器上。 时间一到,则需要生成一个新令牌,供您再次尝试登录。
过期
为帐户创建通行密钥时,除非您决定自行删除,否则该通行密钥永远都不会过期。 登录帐户时将始终使用相同的私钥和公钥。 这与神奇链接有所不同,神奇链接只是临时的,在设定时段过后就会失效。 用户收到神奇链接后,用户打开神奇链接的瞬间即失效。 如果您过了很长时间才打开神奇链接,有些神奇链接甚至会在设定时间后失效,这意味着您必须申请新链接。
神奇链接和通行密钥相似之处
虽然神奇链接和通行密钥存在差异,但两者也有些相似之处。
两者都是无密码身份验证方式
无密码身份验证是无需使用密码登录帐户即可验证某人身份的方式。 神奇链接和通行密钥时无密码身份验证方式,用户无需手动输入密码即可登录在线帐户和应用程序。
两者都可用作 MFA 方式
虽然神奇链接和通行密钥都可用作登录方式,但它们也可用作多因素身份验证方式。 然而,这在很大程度上取决于网站或应用程序是否支持使用神奇链接和通行密钥。 例如,有些网站可能仅支持通行密钥 MFA 方式,而其他网站可能支持以通行密钥作为登录和 MFA 方式。
两者都可增强用户的登录体验
借助神奇链接和通行密钥,个人都无需创建或记住密码,因而令用户的登录体验变得更加轻松。 此外,用户也无需因为忘记密码而加以重置,从而消除了用户因容易记住而创建弱密码的风险。
借助神奇链接和通行密钥实现无密码身份验证
神奇链接和通行密钥都可用作帐户登录方式,无需输入密码。 但是,必需要了解神奇链接有时可能并不安全,因此如果您可以选择启用通行密钥作为登录方式,这不仅会带给您无缝的登录体验,还会大大提高您的帐户的安全性。 如需了解哪些网站和应用程序目前支持使用通行密钥作为登录方式,请查看我们的通行密钥目录。
目前并非所有网站和应用程序都支持使用通行密钥,因此您仍然需要为某些在线帐户创建强密码。 Keeper® 等密码管理器可以帮助您创建强密码,并协助您管理自己的密码和通行密钥。