数字安全越来越复杂，老年人该怎么办？

把手机想象成家的大门：门锁越智能，贼也越“聪明”。好消息是，守门不靠力气，靠方法。只要搭好三道小小的“安全栅栏”，哪怕不追热点、不折腾设置，长辈也能把大多数黑客和诈骗挡在门外。先把“记密码的痛苦”交给工具。安全专家一再强调：密码管理器是普通人安全感的放大器。它把每个网站的长而乱的密码装进加密“保险库”，用主密码在您自己的设备上生成密钥加密，云端只存“看不懂的天书”。担心“一把总钥匙太危险”？给这把主钥匙设一串容易记的长句子（14～16字母以上），写在纸上放家里安全处，同时给密码库本身也打开双重验证。导入账号后，让管理器帮您为每个网站生成不同的长密码，减少“一个被偷全线失守”的连锁风险。为规避浏览器扩展的自动填充被诱骗点击的风险，可以关闭“自动填充”，改为需要时复制/粘贴，再顺手清空剪贴板，简单又稳妥。接着给登录加上一道“你真的是你”的确认。多因素认证能挡住绝大多数自动化攻击。尽量用验证器App或硬件钥匙，而不是短信验证码——短信会被“换卡”或通信协议漏洞盯上。先为最关键的账户开通：邮箱（是一切重置大本营）、网银、社交媒体。生成备用验证码，打印或抄在纸上，与主密码分开存放；谁开口向您索要验证码，不论对方自称客服还是“熟人”，都是诈骗，直接挂断、自己拨回官方电话核验。遇到手机上突然弹出“是否允许登录”的提示，若不是您本人操作，一律点拒绝，并立刻改密。如果看到“用指纹/面容登录，无需密码”的通行密钥（Passkey）选项，勇敢点“是”。通行密钥用公私钥加密，网站只存公钥，不怕钓鱼链接“借壳”骗登录，体验却更简单。担心手机丢失？提前把通行密钥同步到您的生态账号，并在家人的设备上添加一个“第二设备”作为备份；必要时能远程注销旧机、在新机上恢复。技术之外，是习惯的护城河。点链接前多给自己10秒钟：这是谁发的？要我急着点、急着转账、急着保密吗？越催越可疑。网银转账先转小额试水，信息核对再放大额。家里Wi‑Fi设独立而强的路由器密码与管理密码，启用WPA2/3加密；手机和电脑的系统与安全软件保持自动更新，不装来路不明的App。装上权威反诈应用，让可疑电话和短信先被“机器哨兵”拦一拦。重要照片和文件定期做“双备份”（一份云端，一份离线U盘），防止勒索软件或误删带来遗憾。别忘了让设备更“顺手”。把字体、对比度、响铃和触感反馈调到舒适；学会使用手机“放大”“朗读”和“语音输入”。很多手机和应用都提供“远程协助/亲情关怀”，授权后子女可远程帮忙点选和排错。选一位值得信赖的“数字联系人”，把紧急取回码、重要账号清单密封保存，关键时刻有人“接棒”。如果流程太长，不妨来一场“安全午后小改造”：用一杯茶的功夫，装上密码管理器、换掉常用账号的重复密码、给邮箱和网银加上验证器App、打印备用码、在常用服务里打开通行密钥。再花十分钟，给路由器和手机系统做更新，打上“补丁”。这一下午，能挡掉绝大多数常见风险。也请记住，数字包容不是“逼着每个人都去玩高科技”。看不惯屏幕、喜欢线下服务，一点也不丢人。医院、银行、公共服务该保留人工窗口与现金通道；遇到不懂就问，要求人工服务，是每位长者的权利。安全从来不是智商竞赛，而是生活节奏的选择。慢一点、想一想，借一把好工具、拉一只家人的手，复杂的网络世界也能变得温柔可控。当我们把“会用、敢用、愿用”变成习惯，技术就不再是门槛，而是一盏为晚年增光的灯。

生物识别会成为我们最终的数字身份枷锁吗？

当你的脸、指纹、声纹成了“钥匙”，谁在握着“锁”？我们已经能用一个眨眼开门、用一根手指登录银行账户，这像魔法，也像把最私密的自己铸成了铜钥。一旦这把钥匙复制不掉、撤回不了，它会不会反过来束缚我们？这个问题比“技术酷不酷”更接近“自由与控制”的核心。把生物识别当作枷锁，往往源于两个事实。其一，它是不可更换的个人特征：指纹、人脸、虹膜一旦泄露，无法像密码那样重置，这让风控设计更像“一次性赌注”。其二，它天然适合被大规模采集：摄像头与麦克风无处不在，从“无感”抓拍到后台比对，技术上的易得性让滥用与过度收集时有发生，引发对监控、歧视与诈骗的正当担忧。更现实的是，深度伪造已经能合成“人脸与声纹”，传统“眨眼/微笑”的活体检测并不牢靠，设备与应用的抗呈现攻击能力良莠不齐。即便在移动生态里，生物识别安全级别也有分档，并非所有指纹/刷脸体验都同样可靠。但把生物识别简单等同为镣铐，也忽略了体系化安全的演进。今天主流的“无密码登录”（Passkeys）并不会把你的指纹或人脸“上传给网站”；它使用公私钥加密：网站只存公钥，私钥留在你设备的安全区，生物识别只是解锁私钥的本地“开关”。这意味着两点：网站无法由此跟踪你的生物特征，钓鱼网站也骗不走你的“钥匙”。在银行、政务、企业访问中，生物识别作为第二因素叠加在设备持有与本地密钥之上，攻击者需要同时突破设备、传输与活体检测，难度陡增。关键在“如何用”。当生物识别变成唯一、强制、集中存储的身份锚点，它就容易成为枷锁：被黑客盯上，被滥用扩散，被系统性歧视放大。相反，如果我们坚持若干底线，它更像一副“合身的手套”： - 只做本地匹配，不建集中模板库；以加密密钥为真正凭据，生物识别只作本地解锁； - 明确选择与可撤回：随时能改用其他要素（口令、硬件密钥、一次性码），不把人脸当作唯一入口； - 风险自适应而非“全时监控”：在异常场景才提升强度，减少对行为数据的持续采集； - 最小化收集与用途限定：场景必要才启用，越过“为方便而无差别开启”的冲动； - 可审计与合规：提供记录、解释与申诉通道，让技术在阳光下运行。别忘了，生物识别并不能“直接加密你的信息”，它只是把“你是谁”与“你能否解锁密钥”更紧密地绑定。因此，真正决定自由度的，是密钥与账户体系的可恢复、可迁移与可替代：丢机时能通过恢复码或硬件钥回收访问权；跨设备同步不泄露私钥；服务方必须提供不依赖人脸/指纹的备用路径。这些设计，决定你是在被系统牵着走，还是能随时抽身。现实世界既充满进步，也布满陷阱。密码学与Passkeys让“被钓鱼”这类老问题大幅缓解；深度伪造与集中数据库又把新风险推到眼前。监管实践也在纠偏：限制无差别人脸采集、要求个人信息影响评估、强调“人脸不能是唯一验证方式”。这不是技术的自动驾驶，而是社会与工程共同拉动的方向盘。给到你的可操作建议也很朴素：在能用Passkeys的地方优先启用，让生物识别只留在你的设备里；拒绝把面部/指纹模板交给无必要的第三方；为重要账户配置硬件密钥与离线恢复码；把短信验证码降级为备选而非首选；定期做一次“权限体检”，关掉不必要的摄像头授权与后台比对。生物识别会不会成为最终的数字身份枷锁？答案不在指纹的纹路里，也不在摄像头的像素里，而在我们为身份系统写下的原则：可替代、可撤销、可验证、可最小化。如果未来的你还能自由更换“钥匙”、看清“锁”的结构、说出“不”的权利，那么技术就仍是手套，不是镣铐。真正的安全，永远来自可控与可选择。

无密码时代来临后，黑客的新目标会是什么？

想象一座城市突然取消了门锁，取而代之的是只能被你脸、指纹和随身设备识别的“魔法门”。小偷不会消失，他们只会转向新的薄弱环节：你的门禁系统、值班保安、备用钥匙柜、监控盲区。无密码时代也是如此。密码退场，身份本身成了“边界”，而黑客的新目标，正是围绕这条边界的一切人、机、流程与供应链。设备会成为主战场。通行密钥被封存在安全芯片与加密飞地中，这逼得攻击者转而直接拿下你的终端：信息窃取木马、浏览器会话窃取、内存抓取、零日提权。即便私钥出不来，可一旦窃取到浏览器的会话令牌和刷新令牌，他们照样能“无钥开门”，在云端长期潜伏。恢复与客服流程会沦为“后门”。没有密码后，账号恢复更依赖邮箱、短信、人工客服与工单。社会工程、语音钓鱼、SIM 换卡、冒充高管打给服务台，逼迫“临时放行”，都会成为常用武器。MFA 也会被疲劳轰炸与中间人诱导绕过，尤其是留有短信或邮件备份通道的场景。身份提供者与同步云是“皇冠上的明珠”。通行密钥常随系统在云端加密同步，这些平台自身、设备入网审批、同步提示与配对流程，都会被精心投毒。企业侧，攻击者更偏爱撬动单点登录、OAuth 应用授权和长期令牌，静默获取跨系统的持久访问。供应链与硬件信任链同样诱人。从伪造或植入后门的验证器，到篡改固件、滥用认证与 attestation 元数据，再到仿冒型号与恶意硬件钥匙，黑客会瞄准“谁来证明验证器可信”这一环。信任一旦被污染，千门同开。钓鱼不会消失，它会进化。传统口令钓鱼被削弱后，攻击者会诱导你在仿冒的应用关系中“为他人注册通行密钥”，或用实时中间人窃取会话；也会用深度伪造视频闯关远程核身，用跨设备配对的弹窗与二维码制造误导。企业环境里，身份就是通道，通道通向一切。攻击者将集中打击设备管理与策略平台，远程下发恶意配置、放开防毒排除、接管安全基线；同时劫持具备高权限的自动化与AI智能体，通过提示注入与工具滥用完成横向移动与数据外流。物理与人性依旧关键。设备被盗、肩窥 PIN、被胁迫解锁，都会在“解锁即通行”的世界里放大风险。对用户而言，强屏幕锁、敏感操作再认证、丢失即抹除与分级权限，变得比以往更重要。这听起来像攻防失衡吗？恰恰相反。无密码时代让“猜密码”这条老路日渐失效，安全重心从记忆的强度，转向设备健康、会话完整性、流程韧性与供应链可信。把恢复流程当生产系统治理，收紧高风险备援通道；让令牌与设备状态绑定，关键操作强制再验证；最小权限管好OAuth与长期令牌；端点持续监测信息窃取与会话外流；训练一线客服与员工识别社工与疲劳轰炸——这些是新常态。当最老的锁被淘汰，真正的防线不再是一个秘密，而是一种能力：识别、质询、最小信任与快速恢复。技术会进步，诱惑也会更新。愿我们记住，安全不是把世界关在门外，而是让正确的人轻松进来，并让错误的人，无处可去。

密码管理器，是安全管家还是定时炸弹？

一串你自己都记不住的字符，究竟是护城河，还是埋在身边的火药桶？密码管理器把我们从“记忆地狱”里解放出来，却也把所有钥匙放进同一个抽屉。安全与便捷的拉锯战，在这个小小的“保险库”里，每天都在上演。先说好消息。人类大脑不擅长创造强且独特的密码，但黑客却擅长用泄露库做“撞库”。密码管理器正是为此而生：它在你的设备上用强密钥把数据加密成看不懂的密文，云端只保存“乱麻”而非明文，连服务商也解不开。借助自动生成，你的每个账户都能拥有长、随机、唯一的密码，彻底杜绝“一个密码走天下”。现实里，仍只有大约三分之一的人在用密码管理器，这几乎白白把自己暴露给了最常见的攻击方式。但别急着把安全交给“魔法盒子”就完事了。密码管理器并非刀枪不入。浏览器扩展曾被曝出点击劫持问题：恶意网页用蒙层诱导点击，触发自动填充，敏感信息可能外泄。所谓“零知识”也不是护身符，如果客户端被恶意更新或被本地木马篡改，密文再强也守不住“开门的人”。最刺眼的教训来自真实事件：有厂商因为内部凭证泄露与云端密钥被窃，导致加密的保险库备份落入黑客之手，用户被迫与时间赛跑加固主密码和逐个改密。集中式的价值金矿，天然是攻击者的必争之地。那它到底是安全管家，还是定时炸弹？关键在“怎么用、用哪种、怎么配合”。如果你把它当作单一防线，忽略环境与习惯，它就像在干草堆里玩火；如果把它纳入分层防护的一环，规则清晰、操作克制，它会是一位恪守职责的总管家。给你一套可落地的“把管家管好”的准则。先给主密码“加王冠”：用长口令而非短密码，四五个随机词拼成的短语既易记又强壮；别把它存进任何联网设备，纸质留存、物理隔离更靠谱。在能用的地方一律打开多因素认证，尽量选硬件密钥或认证器App，少用短信验证码，能有效抵御劫持与社工钓鱼。对浏览器自动填充要谨慎，给它设“紧箍”：关闭对不可信网页的自动填充，必要时用复制粘贴替代，降低被点击劫持的面。不信任的网络环境里，别轻易通过扩展触发解锁。选型也有门道。云端同步方便，是大多数人的最佳平衡；对高敏感场景，可以考虑本地/离线方案，自行做离线备份；有自建能力的组织可上自托管，换来更可控的威胁面。留心厂商的安全设计与透明度，比如是否客户端本地加密、是否支持硬件密钥、是否提供安全审计与应急流程。有的产品还额外引入“第二把只有你有的钥匙”，即使云端被端走数据，攻击者依旧难以下口。别忘了常识同样致命：系统与应用要及时更新，防木马、防键盘记录；邮箱是“万能重置器”，它的安全级别必须“拉满”。还有一招让“单点失败”更难发生：在某些关键密码里加一撮只有你知道的“胡椒粉”——比如固定的私有前缀或替换规则，不写在保险库里，而是记在脑子里或实体卡片上。即使保险库密文不幸被解开，这点“离线的秘密”也会拖住攻击者的脚步。把视线抬得更远，密码本身正在退场。通行密钥（Passkeys）用公私钥对取代口令，不怕钓鱼、不用短信，指纹/人脸一触即过。它们把“人”的弱点挪走，让加密在幕后干活。并不是所有服务都已支持，设备丢失的恢复体验仍在打磨，但趋势已经明确：能开通就开通，让它先保护你最重要的账户。短期内，密码管理器仍是过渡期的中枢：管理传统密码，保存恢复码，也逐步管理通行密钥，实现平滑迁移。安全从来不是“有没有漏洞”，而是“有没有余地”。密码管理器不是天生的炸弹，也不是神话的护符，它像一只放大镜：能放大你的好习惯，也能放大你的疏忽。当我们用制度与克制把它放在合适的位置，它就是忠诚的安全管家；当我们把所有信任一把梭哈，它也可能变成滴答作响的雷。技术替你记住密码，选择与纪律则替你记住边界。愿你把复杂留给机器，把主动权留给自己。

我们为何总在便利和安全之间选择“裸奔”？

想象一下：你正狂奔穿过一座灯火辉煌的城市，四周摄像头林立、路口遍布拦截，而你却选择不系安全带、没带门卡、还敞开钱包。这就是我们在互联网世界的日常——在“更快一点”“更省心一点”的诱惑下，频频把安全感交给运气。为什么我们总在便利与安全之间选择“裸奔”？答案埋在人性、设计与生态的缝隙里。我们的脑容量先投降。平均用户要维护数十个账户，靠记忆很快沦为“123456”和“password”的拥趸。密码复杂度的老神话也在误导：强制夹杂大小写与符号，并没有带来更聪明的选择，换来的只是“P@ssword1!”这种可预测变体。如今标准更看重“长度优先”——一串14到16位的长口令，更能抵挡撞库与暴力破解。但习惯一旦养成，就像台北捷运从“左行右立”改为“站稳踏阶”后的惯性，安全认知要改需要时间与契机。我们也被“看起来麻烦”的错觉困住了。很多人不愿用密码管理器，因为“把钥匙都放在一个篮子里”看上去很危险；事实上，主流密码库采用强加密与零知识架构，保存在云端的只是你设备上加密过的“天书”，连服务商也解不开。更讽刺的是，真正的系统性风险恰恰来自“重复使用同一把钥匙”：研究显示，密码重用率曾在三分之一，如今一些报告已攀至近六成，一次泄露，处处失守，凭证填充就能把你的社交、邮箱、支付逐一攻陷。平台的激励也在推你“裸奔”。有的社交平台只有在你粉丝破万时才“强烈建议”开多因素认证，因为早期加一道验证门槛，可能影响拉新。结果是，用户前期最脆弱时，安全成了可选项。即便开启MFA，短信验证码仍容易被SIM换卡与信令漏洞盯上；更坚固的做法，是用认证器App或硬件密钥，让攻击者即使知道密码也无计可施。要承认，MFA并非铜墙铁壁，社工与中间人攻击仍在进化，但它足以把“顺手牵羊”的威胁，变成“成本高到犯不着”。还有心理学作祟。我们习惯把“安全的不便”推给明天，把“被黑不轮到我”的乐观留在今天。当安全体验“太简单”时，又本能地怀疑它不够安全。Passkey 正好戳中这种矛盾：用户只需指纹/面容一触即登，背后却是公私钥配对、抗钓鱼、与网站强绑定的密码学防线。它之所以更安全，恰恰因为“你感受不到的复杂”。确实，设备丢失和跨平台体验仍有坎，但它已经把“人”从最脆弱的一环里解放出来。选择不再“裸奔”，并不意味着把生活变成通关游戏。你可以把“轻便”与“稳妥”叠加：为密码库设一把长而好记的主口令（短语更佳），给密码库本身再加一道MFA；关闭浏览器里“到处自动填”的冲动，必要时复制粘贴减少被点击劫持的窗口；关键账户（邮箱、云盘、银行、加密货币）配硬件密钥，其他账户用认证器App；一旦服务支持，果断切换Passkey；手机与电脑启用生物识别与自动锁屏；偶尔做一次密码健康体检与暗网监测，把“未知”变成“可见”。别忘了，系统也该为你的理性“减负”。默认开启MFA、把Passkey做成首选、在高风险情境触发自适应验证、用清晰语言解释风险与选择，这些都是产品应尽的责任。个人努力与产品设计同向发力，才是从“人人裸奔”走向“人人有甲”的关键分水岭。回到那个城市的比喻：真正的自由，不是在人群中飞奔时祈祷不出事，而是让安全成为你几乎感觉不到的“地心引力”。当最省事的路径就是最安全的路径，我们就不必在便利与安全之间反复拉扯。愿你今天多花的一秒，换来明天少掉的一整场灾难；愿我们用一次次更聪明的点击，投票给一个把简单与安全并行不悖的数字世界。

如果你的手机丢了，如何向世界证明你是你？

想象一下，清晨醒来伸手去摸口袋，手机不见了。那一瞬间，你会发现，自己在数字世界的“脸”，似乎也一起丢了。可身份并不只是一台设备——它是一串可被证明、可被重建的线索。手机丢了，如何重新向世界证明“你就是你”？这是一门技术与策略并重的“数字自证术”。先稳住阵脚，把风险关在门外。借用一台可信的电脑或朋友的设备，立刻打开设备找回服务：在 Android 的“查找我的设备”或苹果的“丢失模式”里，远程锁定、显示联系信息，必要时擦除数据，同时退出主要账户的所有会话。接着用你的密码管理器快速替换高价值账户的密码，优先邮箱、支付、云盘与社交平台。别怕改密码麻烦，现代密码管理器用本地加密的“保险库”保存长而随机的密码，几秒钟就能完成全线换防。没有手机，还能如何登录？秘诀是把“你知道的”“你拥有的”“你本人的”这些要素重新组合。很多账户在设置两步验证时会给你一组备用验证码，它们就是没有手机时的“通行证”，打印或保存为离线 PDF，取出即可用。若你平时准备了硬件安全密钥，插上电脑也能过关。认证器应用如果当初保留了种子二维码或迁移文件，换设备后扫描即可恢复。即便什么都没有，也别放弃：大多数大厂账号都有人工或自动的找回流程，会核对你的历史登录地点、设备指纹、创建时间、曾用密保信息等“行为证据”。提供越精确、越一致的信息，越能让系统相信“只有你自己知道这些”。号码即身份的时代，尽快“夺回声音”。联系运营商把旧卡挂失、恢复原号，并开启防止“SIM 卡交换”的安全保护；若流程受阻，可以走号码认证平台的个人号码申诉通道，提交身份证明与使用记录，通常能加速审核。号码恢复只是权宜之计，更稳妥的做法，是将短信验证迁移为认证器应用或硬件密钥，因为短信容易被拦截、转移或被协议漏洞利用。如果你已经在一些网站使用了通行密钥（Passkey），别慌——它们通常可通过云端同步或密码管理器在多设备间“跟随”你。用另一台已登录的电脑、平板就能继续验证；等新手机到手，再把它加入为新的通行密钥。为了避免单点故障，给关键服务登记不止一台设备的通行密钥，是非常划算的“冗余工程”。当所有数字通道一时都堵住，拿出“线下王牌”。携带身份证、护照或驾照，去银行网点、运营商门店或相关机构办理线下核验与账户恢复。出行路上没证件也不必陷入绝境，火车站公安临时办证点和机场派出所能开具临时身份证明，酒店也可在派出所核验后放行入住。这些现实世界的“背书”，会迅速为你打开被手机遗失暂时锁上的门。危机过去，更要把防线筑在“下一次之前”。用一个仅你记得、强而独特的主密码守护密码管理器，把所有账号换成长随机密码；给每个重要账户开启多因素验证，优先认证器应用或硬件密钥，并妥善保管备用验证码；为关键网站登记两把以上的安全密钥或通行密钥；把恢复邮箱设为不在手机上的长期地址；把运营商账号加挂额外口令；把最核心的恢复材料做离线备份，放进实体保险箱。别忘了定期演练一次“找回流程”，像消防演习一样，确保关键时刻手不抖、路不堵。整个过程中，保持“安全洁癖”：只在可信网络与官方入口操作，谨防钓鱼链接；完成找回后，清理所有旧设备的登录授权，移除丢失的安全密钥，审计账号活动轨迹，必要时再次轮换密码与通行密钥。密码管理器的自动填充可以暂时关闭，改用复制粘贴，进一步降低被恶意网页“诱点”的风险。手机可以丢，身份不能失。真正的安全感，不来自一部无所不能的设备，而来自你为“证明自我”准备的多条路径和可复原的秩序。当我们把身份设计成一种可恢复的能力，而不是单点依赖，意外就不再是灾难，只是一次对韧性的检验。愿你下一次在数字世界抬头挺胸地说出“这就是我”，不需要任何解释。

新知 - 大圆镜｜从密码焦虑到无密码时代：数字安全的三次跃迁

对抗知识焦虑，从看懂这条开始

App 下载

密码管理器：把“万能钥匙”锁进保险箱

很多人对密码管理器的顾虑，都集中在“用一个主密码管所有密码，岂不是一失全失？”但真相刚好相反——它的核心逻辑是“零知识架构”：你存在云端的不是密码清单，而是用主密码加密后的乱码，就算服务商被黑客攻破，拿到的也只是一堆看不懂的字符。

你可以把它想象成一个带双重锁的保险箱：第一层是你手里的主密码，第二层是设备本地生成的加密密钥，只有两者同时对上，才能打开箱子。它还能自动生成一串连你自己都记不住的长密码——比如“xL9#kP2!sQ7*fD4”，彻底杜绝了用生日、宠物名当密码的安全漏洞。

更关键的是，它从根源上解决了密码复用的问题。2024年的调查显示，用密码管理器的用户里，密码复用率不到10%，而不用的人里这个数字是65%。欧洲网络安全公司ESET的专家Jake Moore说，这是“改变游戏规则的工具”，可全球只有约三分之一的人在使用——与其说它不安全，不如说我们对“把密码交给工具”这件事，还没放下心。

多因素认证：给账户加道“指纹门禁”

就算你有了最复杂的密码，也架不住钓鱼网站的套取。这时候多因素认证（MFA）就是第二道闸——它要求你同时提供“知道的东西”（密码）和“拥有的东西”（手机验证码、硬件密钥），或者“自身特征”（指纹、面部识别）。

谷歌2024年的数据显示，启用MFA能阻断100%的自动化机器人攻击、96%的大规模钓鱼攻击。但不是所有MFA都一样：短信验证码看似方便，却容易被SIM卡劫持攻击绕过——黑客只要通过社会工程学让运营商把你的手机号转走，就能收到验证码。而认证器App生成的动态码，或者像YubiKey这样的硬件密钥，安全性要高得多，能直接防钓鱼。

可惜的是，很多平台把MFA当成了“可选功能”。比如Instagram要等用户涨到10000粉才提醒开启，仿佛普通用户的账户安全不值得重视。Jake Moore对此直言“荒谬”：我们不该为了注册方便，把安全放在后面——毕竟，等账户被盗了再后悔，已经晚了。

无密码认证：让密码彻底成为过去式

如果说密码管理器是“安全的妥协”，多因素认证是“双重保险”，那Passkeys（通行密钥）就是从根源上解决问题——它直接把密码废掉了。

Passkeys的核心是公钥密码学：你注册账户时，设备会生成一对密钥，私钥存在你的手机或电脑里，公钥传给平台。登录时，平台发一个“挑战”，你的设备用私钥签名回应，不用输入任何密码，只要按个指纹或者刷个脸就行。

这种方式天生防钓鱼，因为私钥永远不会离开你的设备，就算你点了假网站，也没法用假网站的“挑战”通过验证。2024年FIDO联盟的数据显示，已经有53%的用户至少在一个账户启用了Passkeys，体验过的人里，近74%愿意继续用。

当然它也不是完美的：比如你丢了手机，怎么找回账户？目前主流的解决方式是通过云端同步密钥，但这又带来了新的顾虑。不过比起密码的种种麻烦，这已经是向前跨了一大步——毕竟，我们追求的从来不是绝对安全，而是在安全和方便之间，找到一个更聪明的平衡。

从1961年MIT首次用密码保护计算机文件，到现在的无密码认证，数字安全的进化史，其实也是一部和人类懒惰博弈的历史：我们总想着用最简单的方式记住密码，却给黑客留了后门；我们害怕复杂的工具，却忘了“方便”从来和“安全”不是天敌。

数字安全的本质，从来不是“设置一个没人能猜到的密码”，而是把“人”的不确定性，交给更可靠的技术。当我们不再需要记密码，不再担心密码泄露，才能真正把数字安全的主动权握在手里。

好的安全，从来都是让人感觉不到的安全。

密码管理器：把“万能钥匙”锁进保险箱

多因素认证：给账户加道“指纹门禁”

无密码认证：让密码彻底成为过去式

评论