谷歌和苹果希望你使用通行证登录这意味着什么？-《华尔街日报》

Nicole Nguyen

2023-10-22

最大的科技公司希望你放弃密码，转而使用通行证。你可能会想：通行证到底是什么？我必须使用它吗？

这是一种在你的手机或笔记本电脑上使用密码学魔术的新型登录方式。通行证比输入“password123”更安全，更方便，因为你只需扫描你的脸部或指纹，或者点击一个按钮。经过几十年的基本密码后，这可能听起来令人生畏，但通行证时代已经到来。越来越多的网站和应用程序将开始推动你设置它们。

本月早些时候，谷歌开始将通行证登录设为默认。你可能已经在登录Gmail或YouTube后看到提示“创建通行证”（如果没有，很快就会）。在苹果设备上，如果你正在运行最新的软件，你将看到一个新的通行证选项，用于使用你的Apple ID登录网站。上周，亚马逊悄悄地启用了网页登录的通行证选项。

更棒的是，来自Dashlane、1Password和其他公司的第三方密码管理器现在也支持移动设备和桌面浏览器上的通行证。我长期以来一直鼓励人们使用这些管理器，我自己也使用了十多年。

新的通行密钥可用性和兼容性意味着现在是设置几个的好时机。密码及其所有的缺陷将在一段时间内存在，但长期目标是消除它们，取而代之更安全的登录方式。

什么是通行密钥？

使用通行密钥就像打开一扇门。您的设备上有一小段软件代码（钥匙），网站提供另一小段代码（钥孔）。每个网站都有一个只有您的通行密钥才能打开的钥孔。

通行密钥更容易使用，因为：

• 您不必记住或输入复杂的密码。

• 通行密钥可以取代密码和经常通过短信发送的两步验证代码，这些代码通常是6位数字。

许多人在多个网站上重复使用密码。企业讨厌这样做。基因检测公司23andMe表示黑客从被入侵的网站尝试用户名和密码中窃取了客户数据。保持登录简单和易记是人类的本性，尤其是当您不得不一直输入它们时。

通行密钥方法不会利用这个弱点：

• 每个通行密钥都是独一无二的。不会有重复使用的风险。

• 通行密钥不会上当受骗，被设计成可以识别假网站。

• 黑客无法从公司服务器中窃取它们——他们需要访问您的个人设备。通行密钥被设计成可以自动同步到安装了密码管理器的所有地方（尽管在某些情况下，您需要为每个设备单独设置通行密钥）。最好确保您可以从多个设备（手机、笔记本电脑、平板电脑等）访问您的通行密钥，以防丢失其中一个。

通行证和密码管理器

通行证必须存储在密码管理器中。

您可以使用设备内置的iCloud钥匙串或Android的Google密码管理器设置通行证。但是，我们不建议使用这些，因为它们可能成为犯罪分子的入口，他们会偷走您的手机和您手机的解锁码。

更安全的选择是使用第三方密码管理器，如1Password和Dashlane。确保将其设置为您的默认选项，以便在您的笔记本电脑和iOS或Android设备上自动填充密码。只需记住，如果您以后决定使用第三方密码管理器，您将不得不创建新的通行证。

在Google中设置

如果Google没有提示您已经创建通行证，请在Web浏览器中转到您的帐户安全设置。在Google应用中，点击您的个人资料图片，然后选择“管理您的帐户”，然后选择“安全”。

在“您如何登录Google”部分，点击通行证，然后点击“创建通行证”。密码管理器的弹出窗口将要求您确认。

下次您在该设备上使用Google帐户登录时，您的密码管理器应提示您使用该通行证。如果您看到密码字段，请点击“尝试其他方法”以使用您的通行证。

您需要在每台设备上进行此通行证设置。好处是：一旦每台设备都覆盖了，登录将变得轻而易举。

要在您不拥有的设备上登录您的Google帐户，请输入您的用户名，然后在提示时单击“使用另一部手机或平板电脑”。应该会弹出一个QR码。用您的手机扫描它，您的密码管理器应该会完成剩下的工作。

其他平台上的通行证

您可以在其他服务上注册通行证，包括 DocuSign, GitHub 和 Uber。您可能会遇到一些小问题。例如，我无法让Uber的通行证在应用中工作，但它们在网站上可以。1Password有其他通行证合格服务的列表。

目前，亚马逊的通行证只在其网站上有效，而不在其购物或流媒体应用程序上有效。要设置一个通行证，请转到您的帐户设置，然后登录和安全性。在您看到通行证的位置，单击编辑。点击“添加通行证”。设置完成后，您可以使用通行证登录。如果您已打开双因素身份验证，亚马逊可能仍会要求您输入代码。

Apple ID的通行密钥是自动设置的。只要你使用的是iOS 17、iPadOS 17和MacOS Sonoma，只需在诸如icloud.com之类的Apple网站上点击“使用iPhone登录”选项，而不是输入密码。只需注意，Apple ID的通行密钥无法保存在第三方密码管理器中。如果你的手机Face ID失败，网站将要求你输入设备密码。

不要忘记你的密码

“当前无密码技术的致命弱点是许多服务仍然依赖传统密码，”来自网络犯罪分析公司SpyCloud的安全研究主管Trevor Hilligoss警告道。

即使你设置了通行密钥，你的旧密码仍然可以打开你服务的前门。如果你的密码很短、容易猜测或者被重复使用，黑客可能会利用它们。

在通行密钥完全接管之前，请确保你的密码既长又复杂，并且当然，对于每个应用程序、网站和服务都是独一无二的。

—欲了解更多WSJ科技分析、评论、建议和头条新闻，请订阅我们的每周新闻简报。

请写信给Nicole Nguyen，邮箱地址为 [email protected]

刊登于2023年10月23日的印刷版上，标题为“解密使用通行密钥的秘密”。