什么是密钥？

• IAM 词汇表
• 什么是密钥？

密钥是一种现代无密码身份验证技术，它允许用户使用加密密钥而不是密码来登录帐户和应用。密钥利用生物识别（指纹、面部识别等）来确认用户的身份。

密钥和密码有什么区别？

尽管名称相似，但密钥与密码有很大不同。

什么是密码？

密码是用户在登录网站或应用时必须提供的一串字符，通常与用户名一起使用。为防范数据泄露和帐户接管，NIST 建议密码包含以下内容：

• 至少八个字符
• 能够使用所有特殊字符，但对使用它们并没有特殊要求
• 限制连续和重复字符（例如 12345 或 aaaaaa）
• 限制特定上下文的密码（例如网站名称）
• 限制常用密码（例如 qwerty、password123）和字典单词

什么是密钥？

密钥是一种新的身份验证技术，它使用了公钥加密技术，使用户无需输入密码即可登录网站和应用。相反，用户采用与解锁手机和平板电脑相同的方式进行身份验证：使用指纹、刷脸或其他生物识别特征；使用滑动手势；或输入 PIN 码。出于方便考虑，大多数人会选择生物识别身份验证。

用户并不创建用于登录帐户的密码，而是使用“身份验证器”生成一个密钥 – 实际上是一对由一个私钥和一个公钥组成的密钥。 这个“身份验证器”可以是设备（例如智能手机或平板电脑）、网络浏览器或支持密钥技术的密码管理程序。

在生成密钥之前，身份验证器将要求用户使用 PIN 码、滑动手势或生物识别来验证自己的身份。然后，身份验证器将公钥（大致相当于用户名）发送到帐户 Web 服务器进行存储，私钥则由身份验证器安全地存储在本地。如果身份验证器是智能手机或其他设备，私钥将存储在设备钥匙串中。如果身份验证器是密码管理程序，私钥将存储在密码管理程序的加密保管库中。

密钥的工作原理是什么？

若要创建新密钥，用户只需正常登录其帐户，然后在网站或应用的安全设置页面启用密钥选项。然后，网站或应用将提示用户保存与其设备关联的密钥。接着，Web 浏览器或操作系统将请求进行生物识别身份验证以批准请求，并将密钥存储在本地。

随后登录网站时，将提示用户使用其设备上的密钥而不是密码进行登录。如果 Web 浏览器支持在设备之间同步密钥，则密钥在这些设备上都可使用。

如果用户使用的设备没有网站或应用的密钥，则他们可能有机会使用其他设备。如果浏览器支持跨设备认证，则浏览器可能会提示用户使用手机扫描二维码以完成登录。跨设备身份验证还涉及使用蓝牙来确保接近。

这是最终用户所看到的。让我们来看看在服务器层面发生的幕后情况。当最终用户尝试使用密钥登录其帐户时，帐户服务器会向身份验证器发送由一串数据组成的“质询”。身份验证器使用私钥来解决质询并发回响应，这个过程被称为对数据进行“签名”并验证用户身份。

请注意，在这一过程中，帐户服务器并不需要访问用户的私钥，这也意味着从未传输过任何敏感信息。这是可能的，因为服务器存储的公钥在数学上与私钥相关。服务器只需要公钥和签名数据即可验证私钥是否属于用户。

密钥是否更安全？

密钥比密码更安全，原因有多个：

• 为了使密码发挥作用，帐户服务器必须存储密码 – 或者至少存储其哈希值 – 这样才能将存储的数据与用户输入的密码进行比较。如前所述，密钥技术并不需要帐户服务器存储用户的私钥，而只需要存储他们的公钥。如果帐户服务器遭到入侵，威胁行为者将只能访问公钥，但如果没有配套的私钥，这些公钥将毫无用处。
• 大多数人的密码使用习惯都不佳。他们使用的密码太短，或者包含容易被猜测到的字典单词或个人信息。他们在多个站点上重复使用密码。而且，他们未使用密码管理程序，而是将密码存储在便签或未加密的文本文件中。另一方面，密钥是由用户的身份验证器生成，因此它们总是非常复杂，并且每次对于每个用户和每个帐户都具有唯一性。
• 许多人也未使用两步验证 (2FA) 来保护他们的帐户。密钥在设计上依赖于两步验证；若要使用密钥，最终用户的身边必须有身份验证器，并满足您的身份（生物识别）和您拥有的东西（身份验证器）的标准。
• 与密码不同，密钥不会在网络钓鱼阴谋中泄露，因为它无法诱骗用户在伪造的相似网站上输入密钥。

密钥是否会取代密码和密码管理程序？

虽然密钥最终可能会取代密码，但它们不会取代密码管理程序。相反，密码管理程序将变得更加重要。这是因为密钥是绑定至身份验证器。用户可以选择是使用设备（通常是智能手机，但平板电脑、笔记本电脑或台式机也可以），还是使用支持密钥的密码管理程序。

起初，使用智能手机作为身份验证器似乎是合乎逻辑的选项，因为大多数人总是随身携带手机。但是，由于大多数人会使用多台设备，这很快就变得不大方便。如果用户想在其他设备（例如笔记本电脑或平板电脑）上访问帐户或应用，他们必须在该设备上生成二维码，然后使用身份验证器进行扫描，接着再使用他们的生物识别信息最终完成登录。

Keeper 将在 2023 年初推出对密钥的支持，这类密码管理程序可以通过将密钥绑定到应用而不是物理设备来大大简化这一过程。

哪些公司支持密钥？

截至本文撰写之时，支持这项技术的网站和应用数量仍然很少。Apple、Microsoft、Best Buy、GoDaddy、PayPal、Kayak 和 eBay 是目前支持密钥的一些主要公司。

但是，由于其便利性和安全性，密钥正在迅速普及。Google 于 2022 年 12 月推出了针对 Windows、Android 和 macOS 的 Chrome 稳定版 M108 的密钥支持，并正在开发对 iOS 和 Chrome OS 的支持，还推出了一个将为 Android 应用提供密钥支持的新 API 集。