我一直在努力理解这样一个观点：作为你手机上的一个密码或面部识别的密钥，真的能比使用复杂密码和双重身份验证更安全。我明白，拥有一个独特于你的设备的东西，这个东西不存储在公司的服务器上，是不易遭到网络攻击的，但如果你的手机被偷了，有人猜到了你的密码呢？如果你丢失了手机怎么办？抱歉如果这听起来过于简单，但我是真的很困惑，为什么英国国家网络安全中心和其他了解这些事情的人会如此支持使用密钥。有谁使用过它们的可以启发我吗？马丁·艾维斯，切斯特 发新的问题到 nq@theguardian.com 。读者回复这个问题是合理的，值得一个恰当的回答。首先，密钥比密码更安全，原因很简单：因为使用密码登录是全球任何黑客都可以利用的，而物理密钥仅仅对可以偷走你手机的黑客是脆弱的（因为密钥所用的加密技术只有国家行为者才能攻破——而他们无需黑掉你的银行账户）。其次，当有人偷走了你的手机时，你通常会很快注意到，并可以取消（撤销）在你账户上的密钥；如果你的密码被黑掉了，你可能很长时间都不会发现。没有安全系统是完美的，但密钥仍然相较于密码是一个很好的进步。wyldfam 密钥是良好的强保护，比密码要好得多。在你的手机上创建一个由随机数字组成的10位数密码，并记住它，以便变得熟悉自然。在iPhone上，开启“被盗设备保护”。[在安卓上是身份检查。]如果你真的认真对待安全问题，请启用iOS的“锁定模式”[或安卓的“高级保护模式”]。这就是我的看法。TechGirl 密码的基础是一个固有的弱点，称为“共享密钥”。也就是说，你的密码必须在你和你访问的网站之间“共享”。这样你的密码才能在登录时发送到网站并被验证。问题在于，如果服务器被黑，数据被盗，你的密码可能会从被黑的数据中提取出来，并在你不知情的情况下被黑客重用。密钥则没有这个弱点。密钥（简单来说）是一种非常复杂的值，用作数学计算的起点，得到的结果会发送给网站。然后，这个数学结果会通过另外一个完全不同的复杂值进行验证，以确保只来自你的密钥。精彩之处在于，密钥从未发送到网站（只发送结果），因此如果网站被黑，你的密钥就无法被窃取或重用。密钥存储在你的手机、笔记本或密码管理器中，并通过简单的密码或生物识别解锁，因此它们非常易用，同时仍然保持高度安全的底层技术。不过，使用密钥还有更多好处，尽管易于使用和“无法钓鱼”是最明显的。如果有选择，选择密钥总是不会错。gh05ted 我真的无法理解这些回答。我倾向于不使用我不理解的东西。我的密码部分是写在纸上的。它们所指的账户是写在一块不同地方的另一张纸上，只有我自己能理解。我确实在需要或可用的地方使用双重身份验证。我不使用密码管理器。如果你能破解那真是好运。我对此非常怀疑。我怀疑这是一群软件公司试图推广我们不需要的东西，让事情变得比它们需要的更复杂。dannytheclown 整个主题似乎非常令人困惑。在微软建议我在PC上使用密钥后，我对密钥的初步理解是，它们只是为了方便，因为比密码更容易输入。最近的宣传表明，它们应该更安全，因为它们与硬件绑定，黑客无法远程使用。然而，另一方面，你或许可以在设备之间同步它们，这似乎引入了潜在的漏洞。在指纹、密码、密钥、密码管理器、通过应用程序或短信的双重身份验证之间——更不用说谷歌、苹果或Windows自动保存和输入你的密码（和密钥？）——对于乔（或乔安娜）·博客来说，正确获得安全性简直是个雷区。如果你的系统崩溃，你忘记了多年来放任自动登录的关键密码再次访问也同样是严重的风险。GordonLiv 我一直拒绝使用密钥，因为它绑定于单一设备。如果我想访问我的银行账户而我不在桌面前怎么办？那我需要在我的笔记本或手机上也有密钥。在后一种情况下，我的安全性仅仅和我的手机一样安全（而手机很容易落入他人之手）。如果我失去对所有设备的访问，该怎么办？