微软和谷歌在密钥方面取得胜利 • –

微软今天表示，它现在将允许我们普通民众（而不仅仅是商业订户）使用密钥、面部、指纹或设备 PIN 码登录他们的 Microsoft 帐户和应用程序。

对 Microsoft 消费者帐户的额外支持 跨越工作 Windows、Google 和 Apple 平台以及雷德蒙德将此举描述为距离其 10 年梦想“一个没有密码的世界”又近了一步。

从周四开始，人们可以通过桌面和移动浏览器使用密码登录他们的 Microsoft 帐户，并且我们被告知移动应用程序支持即将推出。

时机并非巧合。 今天也是世界密码日，虽然这是一个虚构的假期，但通常标志着科技公司吹嘘他们正在做的事情，以摆脱要求或鼓励用户记住或以某种方式记下独特、强密码的做法他们使用的每个应用程序和在线服务。

一如既往，谷歌还宣布其已有一年的密钥支持达到了一个里程碑，以纪念这一时刻。

项目经理 Sriram Karra 和 Christiaan Brand 表示：“今天，我们宣布密钥已用于对 4 亿多个 Google 帐户中的用户进行身份验证超过 10 亿次” 说。

微软在 2015 年推出 Windows Hello 和 Windows Hello 企业版时，每秒检测到大约 115 次密码攻击，雷德蒙德公司负责安全、合规、身份和管理的副总裁 Vasu Jakkal 以及负责身份和管理的总裁 Joy Chik 表示。网络访问。

截至 2023 年，该数字已 增加 每秒 3,378% 至超过 4,000 个。

“密码攻击之所以如此流行，是因为它们仍然能得到结果，”Jakkal 和 Chik 写了 在宣布支持密钥的博客文章中。

他们说：“很明显，密码不足以保护我们的在线生活。” “无论你设置的密码有多长、有多复杂，或者你多久更改一次密码，它仍然存在风险。”

密钥基于 FIDO联盟标准 得到苹果、微软和谷歌的支持。 将它们视为密码替代品。

简而言之，该技术的工作原理如下：当您为网站或应用程序创建帐户时，您的设备会生成加密的公钥-私钥对。 网站或应用程序后端获取公钥的副本，并且您的设备保留私钥； 该私钥对您的设备保密。 当您登录时，您的设备和后端身份验证系统使用其数字密钥进行交互，以证明您的身份，然后您就可以登录。 如果您没有私钥或无法证明您拥有私钥，则无法登录。

您的设备可以使用生物识别面部扫描、PIN 或指纹等方式在本地保护该私钥。 因此，如果有人想要侵入您的帐户，他们将需要您的设备和秘密 PIN 或生物识别扫描来解锁私钥（或以某种方式获取私钥的副本）。 这被认为比让人们记住或存储密码更安全，并确保每个帐户都有唯一的密钥对。 对于那些想了解多因素身份验证的人来说，它有点根深蒂固：通常，骗子需要掌握您的物理设备以及您的秘密或物理部分才能访问私钥。

微软解释说：“由于这个密钥对组合是唯一的，你的密钥只能在你创建它的网站或应用程序上使用，所以你不会被欺骗登录到恶意的相似网站。” “这就是为什么我们说密钥是‘防网络钓鱼’的。”

最终，他们的目标是通过面部或指纹扫描来简化用户的安全性，而不是要求人们记住他们访问的每个该死的应用程序和网站的唯一 47 个字符的密码，其中包括大写字母、小写字母、数字、特殊字符、以及您的第一只宠物的名字，但前提是它们是长尾小鹦鹉。

Jakkal 和 Chik 表示：“万能钥匙最好的一点是，您永远不需要再担心创建、忘记或重置密码。”

公平地说，这可能有些夸大其词。 犯罪分子是一群狡猾的人，他们可能会找到打破这种最新方法的方法——我们不是在谈论砍掉人们的手指或脸。

但在这个世界密码日，我们希望我们能够至少再享受一年的密码的简单性和安全性。 ®