谷歌近期在其 The Keyword 网站发文指出,绝大多数互联网用户仍主要依赖传统密码登录,这种方式存在安全隐患。根据谷歌的数据,50% 的消费者在不同账户间重复使用密码,这增加了用户遭受成功攻击的风险。另有 50% 的用户会写下密码或仅靠记忆。该公司提倡采用通行密钥(passkeys)、安全密钥和社交登录等高级的登录方式。
– 通行密钥(passkeys)在用户设备上生成。密钥的私密部分保留在设备上,而在线服务只接收用于验证真实性的部分。当使用通行密钥的用户登录时,系统会要求他们使用生物识别技术或设备 PIN 码验证过程。密码永远不会被输入或传输。
– 社交账号登录则通过现有的 Google/Meta/微软账号快速接入第三方服务,无需重复注册。当然,如果丢失或被盗也很危险。对用户来说,社交登录会引发隐私问题,因为科技巨头们会更多地了解他们在互联网上的活动。
对于仍需使用密码的用户,谷歌建议启用两步验证(2FA),优先选择验证器应用(如 Authy),而非短信/邮件等不安全方式;采用密码管理器(如开源工具 Bitwarden)生成并保管高强度唯一密码。
