什么是密钥？

通行密钥是一种使用公钥加密技术的现代无密码身份验证方法。用户不使用密码，而是使用加密密钥对进行身份验证：服务存储的公钥和安全地存储在用户设备或密码管理器中的私钥。

使用通行密钥进行身份验证通常涉及生物识别（如指纹或面部识别）、PIN 码或滑动图案，与解锁智能手机的过程类似。为了方便起见，大多数用户会选择生物识别。

通行密钥的工作原理是什么？

通行密钥利用公钥加密技术，使您无需输入传统密码即可登录网站和应用。以下是它们的工作原理，分步说明：

随着组织和平台采用通行密钥，了解它们与传统密码的区别以及为何它们代表了数字安全和用户体验的重大进步至关重要。

以下是通行密钥和密码之间的关键区别：

密码需要用户手动创建并记住强密码和唯一凭据，这可能很有挑战性。然而，通行密钥是自动生成的，这意味着用户无需担心创建或记住任何内容。设置完成后，他们可以使用设备或密码管理器轻松登录。

密码容易受到网络钓鱼攻击，因为用户需要手动输入密码，这使得密码容易被虚假网站窃取。另一方面，通行密钥具有防网络钓鱼的功能。由于无需输入任何信息，网络犯罪分子无法通过网络钓鱼攻击窃取登录详细信息。

密码很容易泄露，尤其是当用户重复使用密码或选择弱密码时。如果密码被泄露，网络犯罪分子可以立即使用它。然而，通行密钥更安全。私钥从未存储在服务器上；因此，即使服务器遭到入侵，如果没有私钥，单独的公钥也毫无用处。

虽然密码被普遍支持，但通行密钥仍处于推广阶段。Apple、Google 和 PayPal 等主要网站现在都支持通行密钥，但许多网站仍然依赖密码。要查看哪些网站支持通行密钥，请查看 Keeper 的通行密钥目录。

通行密钥提供了多种优势，提供了一种更安全、更无缝的在线身份验证方式。

大多数人对密码管理缺乏良好习惯，通常选择短小、容易被猜到的密码，在不同网站上重复使用密码，或以不安全的方式存储密码。通行密钥通过自动生成密钥并为每个帐户设置唯一密钥来解决此问题。

此外，通行密钥使用公钥加密技术。私钥会安全地存储在用户的设备上或密码管理器中，而公钥则由服务保存。登录时，私钥在不被共享的情况下证明您的身份。这意味着即使服务器被攻破，网络犯罪分子也只能获得公钥，而没有私钥，公钥就毫无用处，这使得通行密钥比传统凭证安全得多。

与许多用户未能通过双重身份验证 (2FA) 来保护密码不同，而通行密钥本身即受其保护。要使用通行密钥，您需要同时具备您拥有的要素（您的身份验证设备）和您本身具备的要素（生物识别认证）。这种内置的双重身份验证使通行密钥比通常缺乏额外保护的传统密码更安全。

通行密钥的一个主要优点是其可以抵御网络钓鱼。由于密钥不需要用户手动输入登录信息，因此网络犯罪分子无法诱骗用户在欺诈网站上输入其凭据。这意味着通行密钥无法通过网络钓鱼攻击被盗取——而密码则经常成为攻击目标。

尽管通行密钥提供了许多优势，但仍然存在一些限制：

尽管采用速度加快，但通行密钥仍未得到普遍支持。许多较小或传统的网站和应用程序仍然依赖密码，这意味着用户通常需要并行管理这两个系统。根据 FIDO 联盟的数据，现在排名前 100 位的网站中约有 48％支持通行密钥，这表明密钥技术正呈现强劲发展势头，但尚未实现全面覆盖。

通行密钥通常与特定设备或生态系统相关联。如果用户失去对设备的访问权限，除非通行密钥被同步或转移，否则他们可能会面临访问账户的困难。防止这种情况的一种方法是将通行密钥存储在 Keeper 等密码管理器中。

尽管发展势头强劲，但大多数人仍然使用密码作为默认登录方式。用户在未来一段时间内仍应做好维护密码管理器或备份策略的准备，因为向无密码世界的转变仍在进行中。

虽然通行密钥有可能取代密码，但它们不会消除对密码管理器的需求。事实上，它们可能使其变得更加重要。

这是因为通行密钥与身份验证器相关联，身份验证器可以是：

乍一看，使用智能手机作为您的主要身份验证器似乎很方便——毕竟大多数人都随身携带手机。但实际上，仅仅依赖一台设备可能会变得不方便，尤其对于在多台设备之间切换的用户而言。

例如，如果您尝试在笔记本电脑或平板电脑上登录，而手机不在身边，您将需要：

这种额外的摩擦凸显了使用支持跨设备同步通行密钥的密码管理器的优势。Keeper 多年来一直支持通行密钥，通过将通行密钥绑定到应用程序，而不是仅依赖物理设备，从而简化了登录流程。这种方法使得在多个设备上访问账户变得更加轻松和无缝。