英国国家网络安全中心宣布推动消费者告别密码、全面转向通行密钥

消费者正被鼓励以通行密钥（Passkey）取代传统密码，作为访问在线服务更简便、更安全的方式。

英国国家网络安全中心（NCSC）隶属于政府通信总部（GCHQ），该机构今日宣布，在有通行密钥可用的情况下，将不再建议个人使用密码登录。

通行密钥安全存储于用户的手机、电脑或第三方凭证管理器中，比传统密码更快捷易用，同时提供更强的安全保障。

NCSC 的这一建议源于一项技术研究，研究表明，通行密钥的安全性至少与密码结合双因素认证（如短信验证码）相当，且通常更为安全。

提升网络钓鱼防御能力

NCSC 表示，推广通行密钥将增强英国抵御网络钓鱼攻击和其他黑客入侵的能力。当前大多数网络攻击依赖于窃取或破解用户登录凭据，通行密钥的推广将有效切断这一攻击路径。

英国政府去年宣布，将在数字服务中推出通行密钥技术，作为现有基于短信验证系统的替代方案，同时也可降低短信发送带来的额外成本。

英国国家医疗服务体系（NHS）成为全球最早采用通行密钥的政府机构之一，为患者提供安全访问医院和药房网站的途径。

谷歌、eBay 和 PayPal 等在线服务提供商也已支持通行密钥。谷歌数据显示，英国超过 50% 的活跃谷歌用户已注册通行密钥，普及率居全球之首。微软也正在为 Hotmail 引入通行密钥功能。

安全性超越双因素认证

通行密钥的安全级别高于密码和基于短信的双因素认证（2FA），这两种传统方式均存在被黑客攻破的风险。

通行密钥允许用户通过自己的手机、平板或笔记本电脑安全登录网站，通过输入 PIN 码或人脸识别来验证身份。

使用短信双因素认证的密码方案容易受到"SIM 卡劫持"攻击，即犯罪分子将受害者的手机号码转移到自己的 SIM 卡上，从而拦截身份验证码。

NCSC 表示，去年之所以尚未正式推荐通行密钥，是因为当时仍存在若干关键的技术实施挑战。然而，过去一年来该技术取得了显著进展，包括实现了在安卓和苹果手机之间迁移通行密钥的功能，这使得该技术在实际应用中已趋于成熟。

暂不推荐企业内部应用

NCSC 表示，现在可以向公众推荐通行密钥作为更安全、更易用的登录方式，同时也建议企业将其作为面向消费者的默认身份验证选项。

不过，NCSC 暂时不建议将通行密钥用于企业内部应用场景，企业端的过渡将需要更长时间。许多机构仍依赖不支持通行密钥或双因素认证的老旧 IT 系统。

对于尚不支持通行密钥的服务，NCSC 建议消费者设置强密码，并启用双因素认证。

NCSC 国家韧性主任乔纳森·埃利森表示，向通行密钥迁移将加速提升英国抵御网络攻击的能力。

"几十年来，记忆密码给我们带来的困扰，在用户迁移到通行密钥后将成为历史。通行密钥是一种用户友好的替代方案，能够提供更强的整体安全韧性。"他说道。

密码的逐步淘汰将是一个渐进过程，第一步是让用户逐渐习惯使用通行密钥。各大银行预计将在未来三到五年内陆续引入这一技术。

Q&A

Q1：通行密钥（Passkey）和传统密码相比，安全性到底强在哪里？

A：通行密钥直接存储在用户设备上，登录时通过 PIN 码或人脸识别验证身份，不存在密码被盗或泄露的风险。相比之下，传统密码加短信验证码的方式容易遭受"SIM 卡劫持"攻击，犯罪分子可将受害者手机号转移到自己的 SIM 卡，从而拦截验证码。NCSC 的技术研究也证明，通行密钥的安全性至少与密码加双因素认证相当，通常更胜一筹。

Q2：目前哪些平台和机构已经支持通行密钥？

A：目前谷歌、eBay、PayPal 等主流在线服务均已支持通行密钥，微软也正在为 Hotmail 引入该功能。在政府机构层面，英国 NHS 已成为全球最早采用通行密钥的政府组织之一。数据显示，英国超过 50% 的活跃谷歌用户已注册通行密钥，普及率位居全球前列。各大银行预计将在未来三到五年内陆续完成通行密钥的部署。

Q3：通行密钥现在适合企业内部系统使用吗？

A：目前 NCSC 暂不推荐将通行密钥用于企业内部应用场景。主要原因是许多企业仍在使用不支持通行密钥或双因素认证的老旧 IT 系统，整体迁移需要更长时间。NCSC 目前的建议是：企业可将通行密钥作为面向消费者的默认身份验证选项，但内部系统的切换仍需等待技术条件进一步成熟。