密钥的工作原理：通往不可避免的无密码未来的完整指南

快速阅读: 《ZDNet》消息，本文介绍了密码密钥的工作原理，强调其比传统密码更安全。密码密钥基于公钥加密技术，无需共享密码，通过零知识验证确保安全。文章还探讨了密码密钥的注册、认证和删除流程，以及相关标准如WebAuthn和FIDO2的作用。

我最近写了大量关于密码密钥的文章——而且有充分的理由。今年，一些全球最大的科技公司正在加大努力，说服其数十亿人使用密码密钥而不是密码登录网站、应用程序和其他服务。密码与密码密钥密码密钥是如何工作的密码与密码密钥你喜爱的网站是否支持密码密钥？和我们一起踏上一次典型的密码密钥旅程，从发现到注册，再到认证，最后到删除。立即阅读密码密钥通常被描述为一种无密码技术。为了让密码作为认证过程的一部分发挥作用，网站、应用程序或其他服务（统称为“依赖方”）必须在其用户身份管理系统中记录该密码。这样，当您在登录时提交密码时，依赖方可以检查您提供的密码是否与其为您记录的密码匹配。无论记录的密码是否加密，这个过程都是一样的。换句话说，使用密码时，在建立登录之前，您必须首先与依赖方共享您的密码。从那时起，每次您去登录时，都必须再次将您的密码发送给依赖方。在网络安全领域，密码被视为共享密码，无论您与谁分享您的密码，共享密码都被视为有风险。密码密钥通常被描述为一种无密码技术。为了让密码作为认证过程的一部分发挥作用，网站、应用程序或其他服务（统称为“依赖方”）必须在其用户身份管理系统中记录该密码。这样，当您在登录时提交密码时，依赖方可以检查您提供的密码是否与其为您记录的密码匹配。此外：生物识别与密码：如果您担心无授权的手机检查，律师怎么说历史上最大且最具破坏性的数据泄露事件中，如果没有恶意行为者发现了共享密码，可能就不会发生。相比之下，密码密钥也涉及一个密码，但这个密码永远不会与依赖方共享。密码密钥是一种零知识验证（ZKA）形式。依赖方完全不了解您的密码，要登录到依赖方，您只需向依赖方证明您持有该密码即可。这就是密码密钥的核心理念：如果您永远不需要与合法的依赖方共享您的密码，那么您也不会无意中与像网络钓鱼者或短信钓鱼者这样的恶意行为者共享您的密码。但是，人类被训练成认为我们需要共享秘密密码，因此很难想象它还能以其他方式工作。相比之下，密码密钥也涉及一个密码，但这个密码永远不会与依赖方共享。密码密钥是一种零知识验证（ZKA）形式。依赖方完全不了解您的密码，要登录到依赖方，您只需向依赖方证明您持有该密码即可。那么，这究竟是如何实现的呢？毕竟，这似乎违背直觉。为什么它比密码更安全呢？公钥加密是密码密钥的基础为了理解密码密钥是如何工作的，有必要了解一些公钥加密的基本知识。就像物理钥匙与特定锁相匹配一样，公钥加密涉及两个数字钥匙——公钥和私钥——它们一一对应且唯一。这些唯一匹配的钥匙集被称为公钥/私钥对；每个唯一的密码密钥背后都存在这样一个独特的对。公钥加密是密码密钥的基础公钥/私钥对有什么特别之处？假设我给你一个与我拥有的私钥相匹配的公钥。您可以使用该公钥来打乱（加密）一条信息。当您将这条信息发送给我时，只要我是唯一拥有匹配私钥的人，我就是唯一能解开（解密）这条信息的人。此外：如果我们想要一个无密码的未来，那就让我们理清我们的密码密钥故事吧公钥不能用于解密该消息或推导出私钥。公钥加密技术的存在意味着我可以将我的公钥随意送给任何人，他们都可以使用同一个钥匙向我发送加密的信息。同时，只有我才能解密这些信息，因为我唯一拥有秘密的私钥。此外，我可以使用我的私钥对任何我可能发送给持有匹配公钥的人的消息进行数字签名。这样，任何此类消息的公钥持有接收者都可以使用他们的公钥验证该消息来自拥有匹配私钥的人。这种能力在密码密钥的ZKA方面起着特殊作用：让依赖方相信我拥有密码密钥的秘密部分（即私钥），而无需向他们透露密码。公钥不能用于解密该消息或推导出私钥。公钥加密技术的存在意味着我可以将我的公钥随意送给任何人，他们都可以使用同一个钥匙向我发送加密的信息。同时，只有我才能解密这些信息，因为我唯一拥有秘密的私钥。与密码密钥不同，您必须冒着与依赖方共享您的密码的风险（如上所述），然后该密码才能作为该依赖方的登录凭证；而使用密码密钥时，您永远不会冒这个风险。每个人都应该知道的四个密码密钥工作流程对于大多数用户来说，有四种与密码密钥相关的流程（工作流）需要注意。每个人都应该知道的四个密码密钥工作流程发现并参与依赖方的密码密钥功能每个人都应该知道的四个密码密钥工作流程– 在支持密码密钥的依赖方中，没有标准来说明其密码密钥功能是如何被广告或用户访问的。从一个依赖方到另一个依赖方，不仅用户体验可能不同，他们也可能使用不同的术语来指代相同的事物。密码密钥注册仪式– 对于任何一个依赖方，您会建立一个或多个密码密钥，以便用来登录网站或应用。基于密码密钥的认证仪式– 一旦密码密钥已被注册到一个依赖方，这就是您如何使用它来与该依赖方进行认证。基于密码密钥的认证仪式密码密钥删除过程– 清理未使用的或不想要的密码密钥。密码密钥删除过程此外：您的密码管理器正受到攻击：如何防御新的威胁密码密钥依赖于标准和隐藏的复杂性这些工作流程的复杂性很重要。当公钥和私钥发挥作用时，它们会被两个行业标准显著丰富，这两个标准共同构成了密码密钥工作的基础。其中一个标准——称为WebAuthn——来自万维网联盟（W3C），是基于网络的无密码认证的行业标准，无论是密码密钥还是其他。换句话说，密码密钥是符合WebAuthn标准的凭证。密码密钥作为比用户名-密码组合更安全的凭证的独特价值主张，很大程度上源于其对无密码WebAuthn标准的合规性。密码密钥依赖于标准和隐藏的复杂性然而，尽管WebAuthn规范非常完整，密码密钥的创新需要另一个名为FIDO联盟的联盟提供的额外基础标准。FIDO代表Fast ID Online，需要这个额外标准的原因主要在于密码密钥需要一种无摩擦的认证方式，只需要用户提供PIN码或生物特征（大多数人已经很熟悉的东西）。此外：密码密钥是如何工作的：无密码登录时到底发生了什么？毕竟，我们已经用指纹对很多应用程序和设备进行了认证。合理推测，我们也应该能够对任何网站或应用这样做。此外，从一个依赖方到另一个依赖方，流程和用户体验都应该像使用用户名和密码的传统标准一样标准化和可识别。为了满足这一需求，FIDO联盟发布了一个附加规范，称为客户端到认证器协议（CTAP）。仅仅“客户端到认证器”这个短语就包含了大多数密码密钥实现试图隐藏给用户的复杂性（有时并不成功）。正如您将在本系列中了解到的那样，一个典型的基于密码密钥的认证（正式称为“认证仪式”）涉及一系列从一个实体到另一个实体的交接，每个交接通常由不同的供应商控制，每个交接都可能是用户困惑或更糟的情况，即工作流失败的机会。理解密码密钥术语正如CTAP的含义所示，除了上述的依赖方外，所有密码密钥工作流中还涉及另外两个实体：客户端和认证器。在大多数情况下，客户端是终端用户设备（即计算机或智能手机）中的技术（即网络浏览器），负责处理进出的网络流量。作为您系统网络流量的处理者，客户端基本上是依赖方和认证器之间的中介。它接收来自依赖方的入站WebAuthn兼容的基于网络的认证请求，将其传递给认证器，然后将认证器的响应传回给依赖方。此外：最佳密码管理器：专家测试在WebAuthn和密码密钥的背景下，认证器是另一种技术（也在用户的掌控之中），它不一定是您可能熟悉的认证器——比如Google Authenticator或Symantec VIP，这些认证器专门用于生成一次性密码。在WebAuthn和密码密钥的背景下，认证器可以处理公钥加密任务，例如创建公钥/私钥对，并在将消息发送给依赖方之前使用私钥对其进行数字签名或加密。认证器有不同的形式，正如我在我的10个密码密钥生存技巧中讨论的那样，决定使用哪一个需要一些前瞻性的思考和计划。除了作为存储和同步所有类型凭证（用户ID/密码、密码密钥等）的凭证管理器的角色外，像1Password、Bitwarden、Dashlane和LastPass这样的密码管理器还可以作为认证器的次要角色（W3C将这些第三方认证器称为“虚拟认证器”）。同样，我们使用的平台和浏览器——如Windows、MacOS、Chrome和Firefox——也有自己的密码管理和认证器功能（称为“平台认证器”）。而对于那些喜欢以专用硬件形式的认证器的人来说，您可以选择一个漫游认证器，例如Yubico的Yubikeys或Google的Titan。在WebAuthn和密码密钥的背景下，认证器是另一种技术（也在用户的掌控之中），它不一定是您可能熟悉的认证器——比如Google Authenticator或Symantec VIP，这些认证器专门用于生成一次性密码。在WebAuthn和密码密钥的背景下，认证器可以处理公钥加密任务，例如创建公钥/私钥对，并在将消息发送给依赖方之前使用私钥对其进行数字签名或加密。密码密钥是如何工作的让我们开始密码密钥注册过程密码密钥是如何工作的您的密码密钥之旅可能是一个奇怪且不一致的经历。但它不一定要这样。密码密钥是如何工作的立即阅读鉴于客户端和认证器的各种选择，需要一种像CTAP这样的标准来尽可能规范化它们之间的集成。因此，通行密钥同时是一种符合WebAuthn和CTAP标准的无密码凭证，或者如FIDO联盟所称的FIDO2标准凭证。正如你所看到的，仅术语本身就可能令人困惑。通行密钥有时也被称为FIDO2凭证，反之亦然。有些密码管理器实际上就是凭证管理器，因为并非每种支持的凭证类型（例如通行密钥）都涉及密码。但与此同时，它们也被称为认证器，这些认证器并不一定是你平时使用的认证器。但对于这些认证器，有不同种类——平台型、虚拟型和漫游型——但并非所有都是凭证管理器。同时，大多数凭证管理器也是认证器。你的头是不是已经开始发晕了？掌握这些术语，更不用说如何操作技术，本身就令人感到畏惧。本系列六部分的ZDNET文章旨在让通行密钥不再那么令人畏惧。我将详细地介绍四个主要的工作流程，展示用户在每个工作流程中通常会遇到的内容，同时揭示每次用户点击或轻触链接或按钮时在后台发生的复杂过程。此外：最佳安全密钥：专家评测梳理最重要的通行密钥概念虽然无法在不涉及一些复杂的细节的情况下实现这一目标，但本系列试图在高层次的简介和对每个工作流程的所有配置、结果和参数的底层细节讨论之间取得平衡。因此，我聚焦于最重要的通行密钥概念和实现，这些概念和实现能够有力地证明通行密钥优于传统凭证的优势。在这样做时，我会略过或完全忽略一些细节（尽管它们也很重要），并对用词采取一定的自由度。梳理最重要的通行密钥概念例如，当我提到凭证管理器时，我通常指的是担任凭证管理器角色的密码管理器。但当我提到认证器时，我也指的是密码管理器，此时作为认证器使用。你在本系列介绍中已经听说过客户端，之后不会再使用该术语。接下来，我会使用“浏览器”来强调某些观点。尽管“依赖方”一词在技术上指的是支持通行密钥的网站、应用程序和其他服务的运营方，但它经常与“网站”和“应用”等词互换使用，以帮助读者聚焦于大多数通行密钥工作流程中的四个主要实体。说到应用程序，如果我专门介绍iOS和Android上的移动通行密钥体验，本系列的篇幅将会翻倍。我跳过了这些内容，因为基础的工作流程和概念是一致的。然而，我计划在未来的文章中重新审视移动使用案例，因为一些移动应用程序对通行密钥的适应情况各不相同。对于开发WebAuthn和CTAP标准的人们表示歉意，关键术语——如具体字段名称和重要概念如“nonce”和“声明”——被简化或直接跳过，以免分散读者对更高层次概念的理解。最后，为了便于演示，我在这整个系列中使用了相同的四种技术：Shopify.com 作为依赖方（Relying Party）Google Chrome 作为浏览器（Browser）Bitwarden 的密码管理扩展（适用于Chrome）作为认证器或凭证管理器MacOS 作为操作系统（Operating System）我完全可以选择 Paypal.com、Firefox、NordPass 和 Windows 11。用户体验会有细微差别，但这些差别基本上是无关紧要的——这也是为什么通行密钥比之前任何凭证都更好的原因之一。通过《Tech Today》及时获取安全资讯，每日清晨送达您的邮箱。在下一部分——“你的最爱网站是否支持通行密钥？”中，我将以Shopify网站为例，说明如何发现一个依赖方是否支持通行密钥——许多网站并不支持。如何使用通行密钥：概述 | 发现 | 选择 | 注册 | 认证 | 删除安全AI代理如何帮助黑客窃取您的机密数据——以及如何应对这个新工具可以让你看到有多少数据在线泄露——而且是免费的一位没有恶意软件编码技能的研究人员如何欺骗AI创建Chrome信息窃取者那个奇怪的验证码可能是恶意软件陷阱——这里是如何保护自己AI代理如何帮助黑客窃取您的机密数据——以及如何应对这个新工具可以让你看到有多少数据在线泄露——而且是免费的一位没有恶意软件编码技能的研究人员如何欺骗AI创建Chrome信息窃取者那个奇怪的验证码可能是恶意软件陷阱——这里是如何保护自己

(以上内容均由Ai生成)