Kunci laluan
Kunci laluan adalah perkara yang paling hampir kepada pengganti sebenar kepada kata laluan. Mereka mengesahkan anda dengan kriptografi dan bukannya rahsia yang dikongsi, ia disegerakkan merentas peranti anda melalui rantai kunci OS anda dan ia kalis pancingan data dengan reka bentuk. Setiap sistem pengendalian utama, penyemak imbas dan pembekal identiti kini menghantar sokongan kunci laluan.
Badan artikel penuh disediakan dalam bahasa Inggeris di bawah.
A passkey ialah bukti kelayakan FIDO2 — pasangan kunci kriptografi yang dicipta dan disimpan oleh sistem pengendalian peranti anda, digunakan untuk mengesahkan anda ke tapak web atau apl tanpa menaip kata laluan. Pelayar membuktikan pemilikan kunci persendirian dengan menandatangani cabaran daripada tapak; tapak mengesahkan dengan kunci awam berdaftar. Tiada kata laluan, tiada kod, tiada geseran melebihi cap jari atau gesaan ID Wajah.
Apa yang digantikan oleh kunci laluan
Aliran log masuk tradisional mempunyai tiga masalah berlapis:
- Kata laluan boleh ditebak. Kata laluan yang paling biasa ialah perkataan kamus dan corak mudah. Serangan pemadat kelayakan mengitar semula pangkalan data kata laluan yang bocor terhadap setiap tapak.
- Kata laluan boleh diguna semula. Pengguna menggunakannya semula merentas perkhidmatan, jadi satu pelanggaran menjejaskan banyak akaun.
- 2FAXPL boleh dihalang. pancingan data dalam masa nyata, hanya kunci perkakasan yang benar-benar kalis pancingan data — dan kunci perkakasan terlalu berat geseran untuk pengguna biasa.
Passkeys meruntuhkan kata laluan + pengalaman 2FA ke dalam satu pemeriksaan biometrik atau PIN pada peranti yang telah disahkan. protokol ialah WebAuthn (standard W3C) pada bahagian penyemak imbas dan CTAP2 (Pelanggan kepada Protokol Pengesah) apabila peranti berasingan seperti kunci perkakasan terlibat. Bersama-sama mereka melaksanakan rangka kerja FIDO2.
Apabila anda mendaftarkan kunci laluan pada contoh.com:
- Tapak ini meminta penyemak imbas anda untuk membuat bukti kelayakan.
- OS menjana pasangan kunci ECC (biasanya pada Secure / TXPL3ZMXX8X). OS mengaitkan kunci awam dengan example.com dan ID bukti kelayakan.
- Penyemak imbas menghantar kunci awam ke tapak, yang menyimpannya dalam rekod akaun anda.
- Kunci peribadi tidak pernah meninggalkan storan selamat peranti anda.
PLXPL47ZZ46XPLXPL47ZZ46XPLXPLXPL47ZZ46XPLXPLXPL47ZZ47XPLXPLX cabaran rawak.
Mengapa kunci laluan adalah kalis pancingan data
Pelayar mengikat tandatangan ke domain sebenar (asal) yang dilawati pengguna. Jika anda menggunakan example.com sebenar, tandatangannya ialah example.com. Jika anda terpedaya dengan evil-example.com, penyemak imbas menghasilkan tandatangan untuk evil-example.com, yang tidak akan diterima oleh example.com sebenar. Penyerang tidak boleh memintas dan memainkan semula bukti kelayakan — tiada rahsia yang boleh dimainkan semula seperti kata laluan atau kod TOTP untuk ditangkap.
Ini adalah sifat yang sama yang menjadikan kunci FIDO2 perkakasan kalis pancingan data, kini dilanjutkan kepada bukti kelayakan terurus OS yang tidak memerlukan dongle yang berasingan.
Sync6peranti twosPLZ66XSync di sini dan duasPLZ66XSync. kunci laluan:- Kekunci laluan disegerakkan. Disimpan dalam rantai kunci OS (Rantai Kunci iCloud, Pengurus Kata Laluan Google, 1Password, Bitwarden) dan disegerakkan pada peranti anda. Anda boleh log masuk dari komputer riba anda menggunakan kunci laluan yang dibuat pada telefon anda. Paling mesra pengguna.
- Kunci laluan terikat peranti. Kekal pada satu peranti, biasanya kunci perkakasan. Jaminan keselamatan yang lebih tinggi (tidak boleh dieksfiltrasi walaupun akaun iCloud anda terjejas) dengan kos yang memerlukan peranti fizikal setiap kali. Kes penggunaan perusahaan dan keselamatan tinggi lebih suka yang ini.
Log masuk merentas peranti
Anda boleh log masuk pada peranti yang tidak mempunyai kunci laluan anda dengan menggunakan kunci laluan pada peranti berdekatan. Aliran standard: komputer riba menunjukkan kod QR, anda mengimbasnya dengan telefon anda, telefon anda mengesahkan dengan kunci laluan dan menghantar penegasan kepada komputer riba melalui pemeriksaan kedekatan Bluetooth. Cepat, tidak memerlukan telefon berada pada Wi-Fi yang sama, menghalang serangan jarak jauh kerana Bluetooth membuktikan kedekatan fizikal.
Penggunaan pada 2026
Pelancaran kunci laluan telah bergerak lebih pantas daripada standard keselamatan biasa:
- Apple, Google, Microsoft telah menghantar sokongan kunci laluan dalam rantai kunci OS mereka sejak 2022–2023
- 1Password, Bitwarden, Dashlane menambah penyegerakan kunci laluan silang OS pada 2023
- Major tapak dengan sokongan kunci laluan termasuk Google, Amazon, PayPal, Microsoft, MetaHubs Terbaik. lagi
- Banyak tapak masih lalai kepada kata laluan+2FA tetapi menawarkan kunci laluan sebagai pilihan
Geseran kini kebanyakannya ialah penggunaan tapak dan kebiasaan pengguna. Teknologi ini telah diselesaikan.
Di mana kunci laluan gagal
Beberapa batasan jujur:
- Pemulihan akaun lebih sukar. Kehilangan semua peranti anda dan akses kepada kunci penyegerakan anda dan anda mungkin kehilangan pas penyegerakan anda. Tapak yang menyokong kunci laluan masih memerlukan aliran pemulihan akaun, selalunya kembali kepada e-mel atau SMS — yang bermaksud tahap keselamatan masih merupakan penyedia e-mel atau telefon.
- LLock-in oleh ekosistem. Rantai Kunci iCloud Apple menyegerakkan kunci laluan antara peranti Apple dengan baik; penyegerakan rentas vendor memerlukan pengurus kata laluan pihak ketiga.
- Pekalis pancingan data bukanlah kalis pengambilalihan akaun. Kunci laluan tidak boleh dipancing data, tetapi kuki sesi selepas log masuk masih boleh dicuri oleh perisian hasad.
Untuk kebanyakan akaun, kunci laluan lebih baik daripada kebanyakan akaun. Penghijrahan berlaku satu tapak utama pada satu masa.
Soalan lazim
- Apa yang berlaku jika saya kehilangan telefon saya dengan kunci laluan?
- Jika kunci laluan telah disegerakkan ke akaun iCloud / Google anda, anda boleh memulihkannya dengan melog masuk ke akaun itu pada peranti baharu. Jika ia terikat peranti (kunci perkakasan), anda biasanya turut mendaftarkan peranti sandaran — setiap tapak yang menyokong kunci laluan mengesyorkan mendaftar sekurang-kurangnya dua. Aliran pemulihan kembali ke e-mel/SMS jika kedua-duanya gagal.
- Adakah kunci laluan sama dengan log masuk biometrik?
- Tidak betul-betul. Biometrik (ID Sentuh, ID Wajah) ialah yang membuka kunci kunci laluan pada peranti anda. Kunci laluan itu sendiri ialah kunci kriptografi. Cap jari tidak pernah meninggalkan peranti anda — tapak hanya melihat tandatangan daripada kunci dalam enklaf selamat anda. Biometrik membenarkan kriptografi; ia tidak dihantar.
- Bolehkah kunci laluan dicuri?
- Kunci persendirian hidup dalam perkakasan selamat (Secure Enclave, TPM, TitanM2) dan direka bentuk supaya tidak boleh diekstrak. Kunci laluan yang disegerakkan awan boleh didedahkan jika akaun iCloud atau Google anda terjejas — itulah sebabnya akaun ini memerlukan perlindungan kukuh mereka sendiri (sebaik-baiknya dengan kunci perkakasan 2FA).
- Adakah semua tapak web berfungsi dengan kunci laluan?
- Hanya tapak yang telah melaksanakan WebAuthn. Penggunaan adalah luas tetapi tidak sekata — tapak teknologi dan kewangan utama biasanya menyokongnya, tapak yang lebih kecil selalunya tidak. Apabila tapak tidak menyokong kunci laluan, anda kembali kepada kata laluan + 2FA, yang tidak mengapa.
- Adakah kunci laluan lebih selamat daripada kunci perkakasan?
- Kira-kira setara untuk sifat rintangan pancingan data. Kekunci perkakasan mempunyai satu kelebihan: bukti kelayakan tidak boleh dieksfiltrasi walaupun komputer atau akaun awan anda terjejas. Kunci laluan yang disegerakkan adalah lebih mudah dan sama-sama kalis pancingan data tetapi kurang berdaya tahan terhadap akaun awan yang terjejas sepenuhnya. Untuk akaun berkepentingan tinggi, gunakan kunci perkakasan. Untuk kegunaan harian, kunci laluan yang disegerakkan adalah baki yang betul.