如何使用您的 Apple ID 设置硬件安全密钥
Apple ID 可以成为解锁您的云宝藏的钥匙,但如果它落入坏人之手,入侵者可能会破坏您的记忆和联系人、通过重置密码访问您的财务信息、冒充您的朋友进行诈骗,甚至在未经您许可的情况下跟踪您。
Apple 不断寻找其他方法来保护您的在线生活和设备,方法是”强化”您从设备以及通过 iCloud.com 和 Apple ID 网站等登录 Apple ID 的方式。最新改进于 2023 年 1 月发布,要求您的设备至少运行 iOS 16.3、iPadOS 16.3 和 macOS 13.2。
此更新允许您使用通过 USB 或 Lightning 插入或通过 NFC 连接的硬件安全密钥作为”第二个因素”,这是除了密码之外的证明您是合法帐户持有者的东西。
安全密钥围绕广泛支持的行业协议 FIDO(以开发该协议的贸易集团的名称命名)而设计,内部有一个芯片,可以为您注册安全的每个站点生成一组加密密钥钥匙。它们无法被欺骗、拦截或复制。您需要实际拥有密钥才能使用它。
有几家公司提供这些密钥。 Yubico 公司是此类产品的先驱,并且拥有种类最多的产品,其中包括两端都有 USB-C 和 Lightning 插头的产品。它们的成本每个大约 20 到 60 美元。 Apple 需要两个才能注册 Apple ID。一些公司将其作为促销活动赠送,以提高帐户安全性。您也不需要来自同一制造商的两个。
为什么应该使用安全密钥
两把钥匙的成本、保证它们安全的需要以及每当需要登录 Apple ID 时都需要一把钥匙的要求对许多人来说可能太过昂贵。 Apple 现有的基于代码的双因素身份验证 (2FA) 系统可能足够适合您,它只需要拥有与您的 Apple ID 帐户关联的受信任设备或经过您验证可信任接收文本的电话号码消息或自动语音呼叫。
但是,越来越多的网站使用硬件安全密钥作为强大的帐户保护方法,如果您开始使用它们,您可能会发现它比其他登录方法更方便。还有其他好处吗?您可以在多个设备和平台上使用相同的硬件密钥,因此您无需将登录绑定到 iCloud 钥匙串同步系统等。
如果您有兴趣改用硬件加密密钥进行 Apple ID 登录,请先购买上述两项,然后继续阅读。
Yubico 的全系列 FIDO 密钥包括多种尺寸和连接器。
尤比科
重要提示:Apple 并未在其文档中明确说明关于 Apple ID 的安全密钥,该安全密钥取代了公司通过受信任设备向您发送六位数字的代码或可信的电话号码。苹果指出,”安全密钥可以充当第二条信息,而不是通常使用的六位验证码。”然而,在测试中,启用安全密钥后,无法使用基于代码的方法。禁用安全密钥将恢复为代码。
它在幕后是如何工作的:一对钥匙
安全密钥使用公钥加密技术,您以前可能听说过。作为用户,所有复杂性都对您隐藏——这也是 FIDO 联盟的意图之一。在公钥密码学中,每当您需要新身份(例如用于证明您对网站帐户的所有权的密钥)时,操作系统或其他软件都会随机生成一个强秘密,并从中派生出公钥和私钥它们在数学上是交织在一起的。
私钥由您的软件或硬件严格保密。通常,它永远不会离开您的设备,甚至可能无法被您(其所有者)直接访问。然而,公钥可以自由共享。拥有您的公钥的其他方可以使用它来加密只有您可以读取的消息,并使用您的私钥解密它们;并验证您发送给他们的文件或其他消息是否有效。您的设备可以使用私钥对消息进行加密”签名”,并且拥有公钥的任何人都可以确信该消息仅由您签名。
借助硬件安全密钥和 FIDO 协议,您可以通过帐户设置注册以使用硬件密钥的双因素身份验证来注册网站。您的硬件密钥为网站创建唯一的秘密,并将公钥传输到网站,网站将其与您的帐户信息一起存储。
稍后登录时,会发生以下情况:
- 该网站使用之前为您存储的公钥发出质询。
- 您的操作系统与安全密钥进行通信,使其生成响应,并使用该网站的私钥对质询进行签名。 (如果网站提供的公钥不匹配,则表明可能存在网络钓鱼尝试,并且该过程将失败。)
- 您的操作系统发回已签名的质询。
- 网站使用存储的公钥来验证您的身份。如果是这样,您已登录。
虽然这听起来可能很麻烦,但您并不参与任何细节。相反,要使用安全密钥,您可以在出现提示时将其插入 USB Type-A、USB-C 或 Lightning 插孔,然后按下、触摸或点击它。 (您可以将其保持插入状态,并在设备或网站提示时触发它。)使用非接触式 NFC 安全密钥,您可以将其靠近支持 NFC 的设备。然后,安全密钥会在注册时或稍后重新登录时生成适当的信息。
使用安全密钥注册您的 Apple ID
您可以通过 iOS 16.3/iPadOS 16.3 或更高版本或者 macOS 13.2 或更高版本为您的 Apple ID 注册安全密钥身份验证。您无法在 iCloud.com 或 Apple ID 网站上注册。
Apple 要求您至少拥有两个安全密钥,以防其中一个丢失。您需要将它们存储在您有权访问的不同位置。
在过去的任何情况下,如果系统提示您输入身份验证代码,您现在都需要准备一个安全密钥。 Apple 明确指出,对于以下所有任务都是如此:
- 添加新设备。
- 使用您的 Apple ID 登录 Apple 网站。
- 重置您的 Apple ID 密码。
- 解锁锁定的 Apple ID 帐户。
- 添加或删除安全密钥(但不完全删除安全密钥身份验证)。
警告!如果您丢失了两把密钥,或者它们被盗、损坏或毁坏,您仍然可以依靠受信任的设备来重新获得帐户访问权限或删除密钥并注册新密钥。但是,如果您无法使用安全密钥并无法访问所有受信任的设备,您的 Apple ID 帐户可能会永远不可用。
启用安全密钥后,每当您需要登录新 Watch、Apple TV 或 HomePod(任何型号)时,都必须使用 iPhone 或 iPad。您不能使用 Mac 来实现此目的。
如何使用您的 Apple ID (macOS) 设置安全密钥
以下是在 macOS 中为您的 Apple ID 设置安全密钥的方法:
- 转至 > 系统设置 > 帐户名称 > 密码和安全,然后点击安全密钥标签右侧的添加。
- Apple 概述了安全密钥如何影响您的帐户。单击”添加安全密钥”继续。
- Apple 警告您需要两把钥匙;单击”继续”。
- 即使对话框显示 Apple ID 和”Apple ID 想要进行更改”,也请输入您的 macOS 帐户密码并点击”允许”。
- 要添加每个安全密钥,您将看到”添加第一个安全密钥”或”第二个安全密钥”屏幕。对于这两个通道,请执行以下步骤:
- 点击”继续”。
- 当提示添加安全密钥时,插入密钥(如果有插头),然后将其激活:按下按钮、以某种方式按住它或点击它。
- 对密钥进行唯一命名 – 可以用不可磨灭的记号笔在其上写下一个数字 – 然后单击”继续”。默认情况下,Apple 会填写钥匙的型号名称。
单击”添加”开始该过程。
- 注册两个密钥后,Apple 会提供当前登录到您的 iCloud 帐户的设备列表。您可以在此步骤中选择要注销的帐户,单击”全部保持登录状态”,甚至单击”取消”以结束该过程而不进行注册。
- 在确认屏幕上,点击”完成”。
Apple 会向您的 Apple ID 关联地址发送一封电子邮件以确认注册(或提醒您这一事实)。
如何使用您的 Apple ID 设置安全密钥 (iOS/iPadOS)
该过程与使用 macOS 几乎相同。两个区别:
- 从”设置”>”帐户名称”>”密码和安全”开始,然后点按”添加安全密钥”。
- 当系统提示您在上述步骤 5->1 中添加密钥时,您还可以将配备 NFC 的安全密钥放在 iPhone 或 iPad 顶部附近,系统会识别并激活该密钥。
如何删除安全密钥或完全禁用它们
Apple 不需要提供安全密钥即可删除它或禁用安全密钥身份验证。转至设置 (iOS/iPadOS)/系统设置 (macOS) > 帐户名称 > 密码和安全。点击安全密钥或单击安全密钥标签旁边的编辑。 (这是一个安全风险:有权访问您的 iPhone 或 iPad 密码的人可以禁用硬件安全密钥身份验证,然后使用基于代码的双因素验证如《华尔街日报》这篇有关盗窃和物理攻击的文章中所述。)
Apple 可以让您查看您的密钥以及您何时注册它们,并让您可以对它们进行操作。您还可以删除安全密钥保护。
仅当您注册了三个或更多密钥时,您才能删除单个密钥。
在 iOS/iPadOS 中:
- 点击一个条目,您可以将其重命名,或者点击”删除密钥”并确认将其删除。您需要安全密钥才能完成。
- 点击”删除所有密钥”并点击”删除”进行确认以禁用身份验证。然后输入您的 iPhone 或 iPad 密码。
- 点击”添加安全密钥”以注册其他密钥。 Apple 会提示您输入现有的安全密钥之一来完成。
在 macOS 中:
- 点击条目名称即可更改名称。
- 选择一个条目,点击减号 (-) 图标将其删除并确认删除,然后提供安全密钥。
- 点击”删除所有密钥”并输入您的 macOS 帐户密码。
- 单击加号 (+) 图标可注册其他密钥。 Apple 会提示您输入已注册的安全密钥才能完成。
在这两种情况下,基于代码的 2FA 现已重新启用。