在过去的几周里,我花了一些时间来提升我的在线账户安全。这开始于更换我存储双因素认证代码的应用程序;在这个过程中,我还决定尽量为更多账户添加通行密钥。

我喜欢通行密钥的想法,并且很高兴有这个选项。但是当我处理数十个账户时,我不禁想,为什么这个旨在简化密码复杂性的东西会以如此不一致的方式被实施。

升级我所有账户安全的探索

升级我所有账户安全的探索

在九月份,我写过关于我如何将身份验证应用程序从Authy切换到1Password的事。因为Authy不允许导出2FA密钥,所以这个过程需要手动访问每个账户来禁用和重新启用2FA。

在每个账户的设置中,我确保其他安全信息都是最新的。这包括确保我的电子邮件地址和电话号码已验证,我设置了备份恢复电子邮件,并且我创建了一个通行密钥。

正如大家肯定注意到的,账户安全的各个方面在在线个人资料中都是不一样的。有些允许添加多个备份电子邮件地址,而有些则只允许一个。有些使用电话号码作为备份恢复方式,而有些则仅用于账户通信。

因为通行密钥是一种较新的工具,我原本期待它们在各个服务中能更一致地工作。但在我尽量添加它们的过程中,我发现情况并不是这样。

通行密钥并不是只有一个用途

通行密钥并不是只有一个用途

通行密钥的主要目的是它们是一种更能抵御网络钓鱼的身份验证形式。你不需要为每个网站记一个通行密钥,而且你无法不小心将通行密钥交给一个假页面。因此,你可能会期待通行密钥能在很多网站上取代密码。

然而,在许多情况下,情况并非如此。相反,通行密钥可以作为密码的替代方案、一个额外的选项,甚至是一种双重身份验证方法。

我们来看几个例子。当你将通行密钥添加到你的PlayStation/Sony账户时,它会替代你的密码和双重身份验证。你得先禁用通行密钥,才能再添加密码。

这是合理的,因为使用通行密钥将密码和双重身份验证的工作合并为一步。索尼暗示,当您使用他们的现代等效产品时,您不需要那些旧选项,这让人感到奇怪的是,在使用通行密钥时,您的安全问题(一个远弱的身份验证方法)仍然有效。

但并非所有账户都是这样(实际上,很少有账户这样做)。在您的谷歌账户中,您可以启用尽可能跳过密码,但您仍然可以选择用密码登录,而不是使用通行密钥。

与此同时,ID.me身份验证服务支持通行密钥,但仅作为第二身份验证因素。您仍然需要输入密码以进行身份验证,但随后可以使用通行密钥代替双重身份验证应用程序代码

当我登录账户以获取截图时,Battle.net根本没有让我输入通行密钥。我必须输入密码并使用移动应用程序进行双重身份验证。如果我不能享受它的便利,为什么还要让我添加通行密钥呢?

密钥加密码并不比单独使用密码更可靠

密钥加密码并不比单独使用密码更可靠

谷歌的做法是最常见的实现:把密钥作为首选方式,但在需要时允许使用密码作为备份。这很方便,因为人们逐渐习惯使用密钥,尤其是在刚开始时,你更容易误解它们的工作原理,从而意外锁定自己。

但缺点是,当同时启用密钥和密码时,你的账户安全性就只和密码的强度一样。这是一句老生常谈:你的账户的安全性只会和它最薄弱的环节一样强。

随着密钥的普及,我预计会有更多账户禁用密码的支持。在那之前,基本的账户安全性不会真正得到提升。

双重身份验证同样存在不一致的问题

双重身份验证同样存在不一致的问题

密钥并不是我在这段安全旅程中发现的唯一让人烦恼的不一致。我首选的双重身份验证方法是使用身份验证器应用里的 TOTP(基于时间的一次性密码)代码。大多数服务允许你使用任何喜欢的双重身份验证应用,只需扫描二维码或输入密钥。

我发现了一个例外:ID.me(在两个方面使其成为安全例外)。它名为 ID.me Authenticator 的身份验证应用程序,您不能使用其他任何选项。当我尝试扫描二维码时,1Password 和 Proton 都给我报错,我也无法手动输入密钥。

我在 2022 年使用 Authy 为我的 ID.me 账户添加了 2FA,所以这几年来肯定发生了变化。由于我试图减少使用的应用程序数量,我并不想为了一个网站在手机上再添加一个我无法在电脑上使用的应用。

我注意到,因为 SMS 和电子邮件是最弱的 2FA 方法,所以避免使用它们是明智的。

但这在不同账户之间也不一致——一些服务要求您启用 SMS 2FA 作为备份,其他服务允许您启用,而有些则根本不支持。虽然这让我们对账户的保护感觉更好,但可以说,2FA 是我们忍受的最糟糕的技术障碍之一。

另一个总是让我感到困扰的事情是,当网站要求您在发送代码之前确认您的电话号码或电子邮件地址时(微软就是这样做的)。因为几乎所有其他网站都会立即发送代码,我常常忽略这个提示,结果等了一两分钟,心里在想为什么还没收到代码。

更强的安全性并不总是那么简单

更强的安全性并不总是那么简单

经过大量繁琐的工作,我对我的账户安全状态感到满意。密码密钥(通常)实施得很明确,几乎每个网站都支持双因素身份验证应用程序。我提到这种不一致,是因为作为一个从事技术工作的人,我注意到了这一点,我相信那些不太懂技术的人也会注意到。

这些困惑的细节会累积起来,尤其是在这个领域犯错误可能会导致你被锁在账户外。如果密码密钥要取代密码,它们需要以清晰、一致的方式实施,让每个人都能用上它们。