整个苹果生态系统都是围绕 Apple ID 构建的,因此您需要通过多重身份验证来保护您的帐户。最好的方法之一是使用安全密钥。
对于任何拥有苹果设备(无论是笔记本电脑、台式机、手机还是平板电脑)的人来说,Apple ID 都是一项重要的信息。它授予对 App Store、FaceTime、Find My、iCloud 和 Messages 的访问权限。考虑到您的 Apple ID 非常重要,保护它免受帐户盗用非常重要,而做到这一点的最佳方法之一就是使用硬件安全密钥。
我们在这里向您展示如何使用安全密钥来保护您的 Apple ID。但首先,重要的是要了解什么是多重身份验证以及为什么使用安全密钥是保护帐户安全的最佳方式之一。
什么是多重身份验证?
目前关于身份验证的想法认为,您可以使用三个因素来验证您的身份:
- 你知道的东西,比如密码。
- 你是什么东西,比如你的指纹等生物特征。
- 您拥有的东西,例如智能设备或硬件安全密钥。
典型的用户名和密码登录方案只使用一个因素——你知道的。问题是,如果坏人知道了您的用户名和密码,他们就可以像您一样登录并接管您的帐户。为防止这种情况,安全专家现在建议混合使用多种因素。这曾经被称为双因素身份验证 (2FA),但随着新选项不断涌现,它被称为多因素身份验证 (MFA)。您可能会看到这两个术语,但它们实际上意味着同一件事。
什么是双因素身份验证?
使用 MFA,即使有人窃取了您的部分或全部登录凭据(例如,从 LastPass 发生的重大数据泄露事件中),他们也无法访问任何受 MFA 保护的帐户。即使登录被接受,他们也会被提示输入第二因素信息并立即被阻止。这也不是理论上的。当 Google 要求所有员工都使用 MFA 时,帐户接管率下降到几乎为零。
有几种不同的方法可以实现 MFA。最常见的——不幸的是,也是最不安全的——是接收通过短信发送的特殊代码。我们建议读者尽可能避免使用此方法,因为这些消息可能会被拦截。
更好的选择是使用代码生成验证器应用程序,例如 Authy 或 Google Authenticator。使用要保护的帐户注册该应用程序后,该应用程序将每 30 秒吐出一次新代码。大多数时候,这意味着您输入用户名和密码,然后系统会提示您输入来自身份验证器应用程序的最新代码。
Apple 实际上提供了另一种形式的多因素身份验证:您可以使用您已经登录的另一台 Apple 设备验证您的身份。在这种情况下,您输入您的 Apple ID 凭据,然后所有设备上都会显示一条通知带有一次性使用代码。这不是 SMS 代码,因此它是一个相当不错的 MFA 选项。
什么是安全密钥?
上述所有 MFA 选项的一大缺点是它们需要功能性设备或数据或蜂窝连接或两者兼而有之。这并不总是一种选择。幸运的是,还有另一种选择:硬件安全密钥。
安全密钥是足够强大的小型物理设备,可以放在您的钥匙串上。许多没有电池,也不需要任何类型的数据连接。有些甚至包括生物识别选项。它们的优点在于它们很容易贴在您的身上并且很难被攻击——尽管您确实有丢失或损坏它们的风险(稍后会详细介绍)。
当您使用安全密钥作为 MFA 设备时,您只需像往常一样输入您的用户名和密码,然后在出现提示时向您的设备出示您的密钥。安全密钥有多种可用的连接器,与适配器(例如 USB-A 到 USB-C 加密狗)兼容,并且许多都支持使用 NFC 的移动设备的无线身份验证。
虽然我们暂时受困于密码,但安全密钥正在帮助摆脱这种繁琐且无效的保护方法。许多设备和服务开始支持无密码身份验证,一些无密码选项依赖于最新的硬件安全密钥。
您可以在 iPad 上使用安全密钥吗?
根据苹果的文档,您不能通过 NFC 在 iPad 上使用安全密钥。这很不幸,因为许多 iPhone 都支持无线通信系统。
我们也在测试中验证了这一点:在使用我们的 Apple ID 注册安全密钥后,我们无法使用这些密钥通过我们的 Apple ID 设置新 iPad。这尤其令人恼火,因为登录流程没有为您提供使用恢复代码的选项,而 Apple 一次只允许您使用一种形式的 MFA。最后,我们不得不从我们的帐户中删除安全密钥,并通过 Apple 发送到不同设备的常用六位数代码登录。
虽然密钥无法通过 NFC 在 iPad 上使用,但 Apple 表示您仍然可以在 iPad 上使用安全密钥,前提是您可以将密钥实际插入 iPad。
很少有安全密钥使用 Apple 专有的 Lightning 连接器。我们测试过的唯一一款是 YubiKey 5Ci,它的一侧有 USB-C,另一侧有 Lightning。我们无法确认 USB-C 安全密钥是否可用于通过 Lightning 连接到 iPad。
然而,iPad 并不局限于 Lightning。某些型号确实使用 USB-C,例如iPad Air(2020 年第四代或更新)、iPad Mini(2021 年第六代或更新)和iPad Pro(2018 年及更新)。我们手头没有这些模型可以使用 USB-C 安全密钥进行测试,但一旦我们有机会确认,我们将更新这篇文章。
Apple ID 应使用哪些安全密钥?
选择安全密钥时,您需要考虑价格和兼容性。对于价格,您应该为大多数安全密钥支付大约 20 到 80 美元。价格较高的密钥通常具有更高级的功能,例如额外的身份验证选项或生物识别技术。高级功能很酷,但不要为您不会使用的功能付费。
在保护您的 Apple ID 时,价格是一个特别重要的因素,因为 Apple 要求您注册两个安全密钥,这意味着您必须支付两个。幸运的是,您可以混合搭配,也许购买一把花哨的钥匙供日常使用,并购买一把基本的、更便宜的钥匙作为备用。
兼容性是一个更棘手的考虑因素。大多数安全密钥都带有一个 USB-C 或 USB-A 连接器。考虑您拥有的设备以及可用的端口。如果您发现 USB-A 在您的设备中越来越少,请选择 USB-C。请务必牢记您的 iPad,因为 iPad 尚不支持 NFC 安全密钥,如前所述。
大多数 Apple 移动设备尚不支持 USB-C,但许多支持 NFC。Apple 用户应确保选择也支持 NFC 的安全密钥,以便在 iPhone 上轻松进行身份验证。与 YubiKey 5Ci 相比,我们更喜欢这种无线选项——一侧带有 USB-C 的安全密钥,另一侧带有 Apple Lightning 连接器——与其他密钥相比价格昂贵且不支持 NFC。但是,5Ci 应该可以与缺少 USB-C 连接器的 iPad 一起使用。
Apple 在其文档中推荐YubiKey 5C NFC、YubiKey 5Ci和Feitan ePass K9 NFC USB-A。虽然我们同意 YubiKey 5C NFC 是一个不错的选择,但 YubiKey Security Key C NFC 对于初次使用的用户来说可能是更好的选择,因为它的价格是 5C 的一半。请注意,Yubico 已停产此键的蓝色版本,即将推出新的黑包键.
最后一个问题是 Apple 的在线支持文档表示您必须使用已通过 FIDO 认证的密钥,FIDO 是管理安全密钥发挥作用的开放标准的组织。我们还没有测试过这是否真的由 Apple 强制执行,或者这是否只是一种最佳做法。
如何为 Apple ID 设置安全密钥
在使用 Apple ID 注册安全密钥之前,需要做一些事情。最重要的是,如果您还没有为您的 Apple ID 启用 MFA,则必须等待几周才能添加安全密钥。据推测,这是为了防止有人接管您的帐户,然后通过注册安全密钥将您锁定。不用担心:拥有任何形式的 MFA 总比没有好,而且您的帐户在您等待时也不会坐立不安。
当然,您还需要有两个硬件安全密钥。请记住,Apple 要求您注册两个密钥,因此请将它们都放在手边。如果您之前为安全密钥设置了 PIN,系统也会提示您输入该 PIN。
在开始之前,您还应该更新所有 Apple 设备。Apple 仅支持在 iOS 16.3、iPadOS 16.3 或 macOS Ventura 13.2 或更高版本上注册安全密钥。
最后,请务必将您的密码(最好是随机生成并存储在密码管理器中)放在手边,并使用一些方法来验证您的身份。Apple 经常使用您已登录的其他设备进行验证,因此请准备好另一台 Apple 移动设备或电脑。在我们的测试中,我们只有一台 Apple 设备可用,并且能够使用之前在 Apple 注册的电话号码验证我们的身份。
在开始之前,Apple 在其在线文档中指出了一些注意事项。如果您将 Apple Watch 与您未登录的设备(例如,您配偶的 iPad)配对,您需要将您的 Apple Watch 与您登录的设备配对。Apple 还表示 Managed Apple IDs儿童的 Apple ID 不符合安全密钥的条件。同样,iPad 不支持带 NFC 的安全密钥,因此请确保至少有一个密钥适合 iPad 的连接器。最后,Apple 警告您将无法再登录 Windows 版 iCloud。
使用 iPad 或 iPhone 注册安全密钥
在 iOS 或 iPadOS 上,打开“设置”应用,然后在菜单顶部轻点您的名字。在下一个屏幕上,点击密码和安全性,然后点击添加安全密钥。
然后系统会提示您插入或点击您的第一个安全密钥。请记住:iPad 目前不支持 NFC,因此您必须使用可以插入设备的钥匙。如果您要插入它,系统还会提示您点击该键进行确认。
如果您在带有 NFC 的 iPhone 上注册密钥,您应该点击并按住屏幕顶部的密钥。它会要求你这样做两次。有时,设备需要一两分钟才能读取密钥,因此除非您被告知读取失败,否则不要四处移动它。如果您之前为安全密钥设置了 PIN,则必须现在输入。
在您注册第一个密钥后,系统会提示您使用第二个安全密钥重复该过程。
最后,您将看到已与您的 Apple ID 相关联的设备列表。您现在可以选择保持登录状态或远程注销这些设备。如果您看到不再使用甚至不再拥有的旧设备,请务必将它们注销。
使用 macOS 注册安全密钥
要在 macOS 中注册密钥,请单击 Apple 菜单,然后单击系统偏好设置,在窗格的左上角单击您的姓名,然后单击密码和安全性。之后,单击安全密钥,然后选择添加。您应该被引导完成一个类似于在移动设备上注册密钥的设置过程。
请记住,要在 Apple 台式机或笔记本电脑上注册密钥,您需要在出现提示时将它们插入适当的端口,而不是依赖 NFC。
恭喜!您现在正在使用安全密钥保护您的 Apple ID。
如何使用安全密钥登录您的 Apple ID
下次登录 Apple 设备时,您可以像往常一样输入您的 Apple ID 用户名和密码。一旦这些被接受,系统将提示您插入安全密钥,或者如果您使用的是支持 NFC 安全密钥的移动设备,请点击它。同样,如果您插入钥匙,系统会提示您点击它,如果您是在移动设备上点击钥匙,您需要瞄准屏幕顶部并等待一两下。
当您尝试通过浏览器登录 Apple 的在线服务时,您还需要您的安全密钥。您将输入您的用户名和密码,然后插入您的笔记本电脑或台式机并点击它,或者点击您移动设备上的按键。
在我们的测试中,我们能够使用 Chrome、Opera 或 Safari 毫无问题地登录到 appleid.apple.com。但是,我们在尝试使用 Firefox 时收到一条错误消息。
遗憾的是,当您登录某些 Apple 设备(特别是 Apple TV 和 HomePods)时,您将无法使用安全密钥。对于这些设备,您需要使用另一台 Apple 设备验证您的身份。
如果您丢失了安全密钥,该怎么办?
安全密钥的优势在于它是一个东西,而不是一个应用程序或提供代码的服务。缺点是安全密钥是您可能会丢失或被盗的东西。幸运的是,Apple 要求您注册第二个安全密钥,其中一个作为第一个的备份。
如果您丢失了两个安全密钥,您可能希望在重新获得对帐户的控制权后立即花点时间重新安排您的生活。如果您启用了其他身份验证选项(例如接收从 Apple 发送到您的设备或通过短信发送的代码),您应该尝试使用这些选项来访问您的帐户。Apple 在其文档中指出,只要您登录到至少一台设备,您就应该能够重新获得对帐户的控制权。一旦您能够访问帐户设置,您将需要取消注册您的安全密钥。如果再次找到他们,您只需重新注册即可。
最好通过准备好大量备份选项来为此类不测事件做好准备。Apple 提供了两种帐户恢复选项:Recovery Contact 和 Recovery Key。在 iOS 和 iPadOS 上,您可以通过依次点击设置、Apple ID(在菜单顶部点击您的名字)、密码和安全,最后在 iPhone 或 iPad 上找到帐户恢复。
在 macOS 上,您可以找到恢复联系人选项在系统偏好设置的密码和安全设置中。恢复密钥选项位于 macOS 系统偏好设置的帐户详细信息区域。
恢复联系人是您指定的人,可以验证您重新获得 Apple ID 访问权限的请求。但是,您可以为该角色选择的人员有一些限制。可接受的候选人必须年满 13 岁,已为其 Apple ID 激活 MFA,在其设备上运行相当新的操作系统,并使用 iMessage。在我们的测试中,我们提名的人拥有有效的 Apple ID,但使用 Android 移动设备进行消息传递,因此我们无法提名此人。
恢复密钥没有此类限制。相反,您会为您的帐户生成一个 28 位的恢复密钥。当所有其他方法都失败时,您可以使用这一长串文本字符来解锁帐户。请务必将您的密钥存放在安全的地方,或许可以将其写在安全的地方。其他站点和服务提供类似于恢复密钥(有时称为备份代码或备份密钥)的功能,我们鼓励每个人在可用时使用它们。请注意,当您使用 Apple 生成恢复密钥时,系统会提示您输入全部内容以进行确认,因此请做好准备。如果您丢失了恢复密钥,您可以从您仍处于登录状态的设备生成一个新密钥。
更令人沮丧的是,Apple 还允许您选择一个人,如果您死了,他可以接管您的 Apple ID。这可能看起来无关紧要,但除非您的家人知道您使用了哪些 MFA 选项以及在哪里可以找到您的安全密钥,否则他们将无法访问您的 Apple ID。在 iOS 上,您可以在Legacy Contact下找到此选项在密码和安全设置菜单中,以及 macOS 系统偏好设置中的密码和安全设置。
您应该将安全密钥与您的 Apple ID 一起使用吗?
安全密钥可能是最安全的 MFA 选项,但这并不意味着它们适用于所有人。安全密钥需要花钱,它们可能会丢失,您必须将它们放在手边才能登录。如果这一切听起来超出您的承受能力,您应该使用不同的 MFA 选项。归根结底,最重要的是您尽可能采取措施保护所有帐户的安全。