如何在 iPhone、iPad 和 Mac 上使用新的密钥

密码 Safari 提示

“Passkey”是 Apple 对简化网站登录流程的称呼,将于今年晚些时候在 macOS 13 Ventura、iOS 16 和 iPadOS 16 中全面实现。万能钥匙依赖于广泛支持的行业标准来让您执行以下操作:初始设置后,您几乎无需付出任何努力即可加密登录。

您可以在不安装这些即将推出的操作系统的公共测试版的情况下尝试使用密钥,因为 Apple 在 iOS 15、iPadOS 15 和 macOS 12 Monterey 的 Safari 15 中的所有操作系统中以预览形式将密钥支持内置到了 Safari 中。

在几周或几个月内全面发布密钥,并且Google 和 Microsoft 宣布由于支持兼容技术,今年秋天您可能会在许多网站上看到添加密码登录的选项。

以下是该过程的工作原理。

在网站上注册

万能密钥由一对加密密钥组成,通常称为公钥密码术。当您访问支持 WebAuthn(接受、存储密钥并与密钥交互所需的技术)的服务器时,您的浏览器将显示加密对的公钥。公钥不能用于登录,而是用来证明您的身份:您拥有私钥,该私钥是在您的设备上创建的,并且永远不会将其用于登录。

要注册,您需要访问提供密钥支持的网站。网站可能会声明它一般支持万能钥匙,说它支持 WebAuthn,或者声明它与 FIDO2、CTAP 或”多设备 FIDO 凭证”兼容。所有这些术语都意味着您可以使用 Apple(或 Google 或 Microsoft)密钥作为您的登录凭据。 (FIDO2 是由 FIDO 联盟 贸易团体,是实现密钥和 WebAuthn 的关键部分,Apple、Microsoft 和 Google 都是其成员。)

该过程的工作方式与您在网站上注册双因素身份验证 (2FA) 或您之前使用过 WebAuthn 硬件密钥(如 由 Yubico 制作的

  1. 使用您现有的用户名和密码登录。
  2. 网站可能会提示您进行额外验证。这可能是通过电子邮件、短信代码或通过代码或已安装在 iPhone 或 iPad 上的应用程序发送的 2FA 确认提示发送的链接。
  3. 网站的安全部分允许您选择使用密钥或上述备用名称之一。
  4. 网络服务器向您的浏览器推送请求以提供加密信息。
  5. 系统会提示您使用 Touch ID、Face ID 或您的设备密码批准此请求,具体取决于可用和启用的内容。
  6. 如果您成功验证您的身份,您的设备将生成公钥/私钥对。私钥存储在您的设备上,并且永远不会发送到远程站点。
  7. 您的浏览器会发送公钥以及经过加密签名的消息,服务器可以使用提供的公钥进行验证:只有其设备持有私钥的人才能生成可验证的消息。
  8. 网络服务器存储您的公钥以供您将来登录。

作为注册过程的一部分,您需要验证您是否希望网站能够使用 Touch ID(或其他身份验证元素)。

设置密钥登录可能会禁用您帐户上的 2FA,或者允许您选择密钥登录而不是 2FA 途径。密钥提供了拥有秘密和存储秘密的设备的证明,这实际上是两个因素。 (一些安全性较高的网站和服务可能仍然需要 2FA,而不是密钥或除了密钥之外还需要 2FA。)

您可以通过 Webauthn.me,由身份验证服务提供商 Auth0 制作的网站。目前,一些生产站点提供与密钥兼容的登录,但目前还很少。您可以将 Google 或 Dropbox 帐户设置为使用”安全密钥”并改为使用密码。请参阅下文,了解我的经验。

使用密码登录

在已注册的网站上,您可以在下次需要登录时使用存储的密码。您可能已经注意到,许多网站已开始将用户名或帐户电子邮件提交与密码提交分开 – 这似乎是准备万能钥匙。

当网站完全准备好使用密钥时,您将点击或单击用户名或帐户电子邮件字段,Safari 会提示您验证密钥登录。在某些情况下,Safari 可能会首先询问您是否允许 Touch ID 或”安全密钥”登录网站;单击允许继续。然后,您可以像注册期间一样通过 Touch ID、Face ID 或您的设备密码进行身份验证。就是这样!使用 Webauthn.me 网站,您可以在其流程的第 4 步中进行测试。

使用密码注册后首次登录之前,可能会要求您允许安全登录网站。 从今年秋季的操作系统版本开始,密码将保存密钥条目。

对于某些支持 WebAuthn 但尚未完全符合简化密钥流程的网站,系统可能会提示您执行正常的用户名和密码登录,然后网站才会启动要求您的浏览器提供密钥的序列。

通过选择”安全密钥”选项并按照 macOS 版 Safari 中的提示操作,我能够在 Dropbox 上使用密钥进行注册。 (通过 Safari 登录 Dropbox 后,单击右上角的头像,单击安全链接,然后单击”安全密钥”旁边的添加。当系统询问您是否已插入密钥时,请确认您已插入。)

后续登录在 macOS 版 Safari 中可以正常登录,但在 iOS 版 Safari 中则不行,可能是因为在新操作系统发布之前缺乏 iCloud 钥匙串同步支持。在 iOS 16、iPadOS 15 和 Ventura 中,启用 iCloud 钥匙串后,密钥将同步并在 iOS/iPadOS 中的”设置”>”密码”和 Ventura 中的”系统设置”>”密码”中列出。

Apple 将允许您通过 AirDrop 安全地发送密钥,从而与其他 Apple 用户共享密钥。这将共享公钥和私钥,并为人们提供相同程度的帐户访问权限,就像您向他们提供了您帐户的用户名、密码和双因素令牌一样。

从其他设备登录

某些网站将允许您指定密码登录作为获取访问权限的唯一方法。那么,如果您尝试从没有存储密码的设备(例如公用或家庭计算机、工作中的设备或您在旅行时可以访问的设备)登录怎么办?或者由于Windows系统或Android手机特定的功能,您需要使用这些平台来访问网站? Apple 展示了一种巧妙的方法在 2022 年全球开发者大会上介绍了需要 QR 码和蓝牙的密钥。

这个过程是这样的:

  1. 在操作系统或浏览器足够新、足以支持 WebAuthn 登录的设备上,当您在使用密钥的网站上输入帐户名时。
  2. 网站将向浏览器查询密码,浏览器会发现它没有密码。然后,您可以单击通过代理提供密钥,例如单击”添加新手机”。
  3. 网站发送一个查询,导致浏览器显示 QR 代码。
  4. 在 iPhone 或 iPad 上扫描二维码并点击提示”使用密码登录”。
  5. 在您的设备上,点击”继续”,然后使用 Touch ID、Face ID 或您的设备密码批准登录。
  6. 浏览器显示您已登录。

密码验证 在没有密钥的设备上,与蓝牙配对的二维码将允许安全登录,不会泄露您的秘密或允许网络钓鱼。

苹果

在此过程中,显示​​二维码的设备和您的 iPhone 或 iPad 通过蓝牙悄悄建立连接并交换关键信息。这可以让您的设备确保登录是使用附近的设备进行的,以防止远程攻击,并且蓝牙反向通道是与浏览器连接分开的加密通道,从而避免出现虚假登录的网络钓鱼攻击。

在其他设备上验证登录身份后,您的会话将正常进行。确保完成清除状态后注销。

未来是万能钥匙

万能钥匙的简单性隐藏着复杂性。这一次,我们既轻松又无需管理流程的开销,并且获得了尽可能高的安全级别。每次登录都是唯一的,为您存储,并通过您的设备和网站进行双向验证,以确保只有有权访问您的设备的人才能登录该网站。