如何使用安全密钥保护您的Apple ID

对于任何拥有苹果设备的人来说，苹果ID都是一条关键信息，无论是笔记本电脑、台式机、手机还是平板电脑。它授予访问App Store、FaceTime、Find My、iCloud和Messages的权限。考虑到你的苹果ID有多重要，确保它的安全不被账户接管是很重要的，而做到这一点的最好方法之一是使用硬件安全密钥。

我们在这里向你展示如何使用安全密钥来保护你的Apple ID。但首先，重要的是要了解什么是多因素身份验证，以及为什么使用安全密钥是保护你的账户安全的最佳方式之一。

什么是多因素身份验证？

目前关于身份验证的想法认为，有三个因素可以用来验证自己的身份：

• 一些你知道的东西，比如密码。
• 你是什么东西，就像你的指纹这样的生物特征。
• 你拥有的东西，比如智能设备或硬件安全密钥。

典型的用户名和密码登录方案只使用一个因素–您知道的。问题是，如果一个坏人获得了你的用户名和密码，他们就可以像你一样登录并接管你的账户。为了防止这种情况，安全专家现在建议将多种因素混合在一起。这过去被称为双因素身份验证(2FA)，但随着新的选项不断涌现，它已被称为多因素身份验证(MFA)。你可能会看到这两个术语，但它们实际上意味着同一件事。

使用MFA，即使有人窃取了您的部分或全部登录凭据–比如，从LastPass发生的重大数据泄露事件中窃取–他们也无法访问任何使用MFA保护的帐户。即使登录被接受，他们也会被提示输入第二因素信息，并将立即受阻。这也不是理论上的。当谷歌要求所有员工使用MFA时，账户接管下降到几乎为零。

有几种不同的方法来实现MFA。最常见的–不幸的是，也是最不安全的–是收到通过短信发送的特殊代码。我们建议读者尽可能避免使用此方法，因为这些消息可能会被截获。

更好的选择是使用代码生成验证器应用程序，如Authy或Google验证器。一旦你用你想要保护的账户注册了这款应用程序，这款应用程序就会每隔30秒发出新的代码。大多数情况下，这意味着你输入用户名和密码，然后系统会提示你从验证器应用程序中输入最新的代码。

事实上，苹果确实提供了另一种形式的多因素身份验证：你可以使用另一台已经登录的苹果设备来验证你的身份。在这种情况下，您输入您的Apple ID凭据，然后在您的所有设备上显示一个通知以及一次性使用代码。这不是一个短信代码，所以它是一个相当好的MFA选项。

什么是安全密钥？

上述所有MFA选项的最大缺点是，它们需要功能正常的设备或数据或蜂窝连接，或两者兼而有之。这并不总是一种选择。幸运的是，还有另一个选择：硬件安全密钥。

安全密钥是一种小型物理设备，足够坚固，可以存放在您的钥匙链上。许多手机没有电池，也不需要任何形式的数据连接。有些甚至包括生物识别选项。它们的伟大之处在于，它们很容易保存在您的身上，很难攻击–尽管您确实面临丢失或损坏它们的风险(稍后将详细介绍)。

当您使用安全密钥作为MFA设备时，您只需像往常一样输入您的用户名和密码，然后在出现提示时向您的设备出示您的密钥。安全密钥具有多种可用连接器，与适配器(如USB-A到USB-C转换器)兼容，并且许多密钥支持使用NFC的移动设备的无线身份验证。

尽管我们暂时只能使用密码，但安全密钥正在帮助摆脱这种繁琐而无效的保护方法。许多设备和服务开始支持无密码身份验证，一些无密码选项依赖于最新的硬件安全密钥。

你应该对Apple ID使用什么安全密钥？

在选择安全密钥时，您需要考虑价格和兼容性。至于价格，你应该会为大多数安全密钥支付大约20到80美元。价格较高的密钥通常具有更高级的功能，如额外的身份验证选项或生物识别。高级功能很酷，但不要为你不会使用的功能付费。

在保护你的苹果ID时，价格是一个特别重要的问题，因为苹果要求你注册两个安全密钥，这意味着你必须支付两个。幸运的是，你可以混合搭配，也许可以买一把日常使用的奇特钥匙和一把基本的、更便宜的钥匙作为备份。

兼容性是一个更棘手的考虑因素。大多数安全钥匙都带有一个USB-C或USB-A接口。请考虑您拥有的设备以及可用的端口。如果你发现USB-A在你的设备中越来越少见，那就用USB-C吧。

大多数苹果移动设备还不支持USB-C，但许多设备支持NFC。苹果用户应该确保选择也支持NFC的安全密钥，以便在iPhone和iPad上轻松进行身份验证。与YubiKey 5Ci相比，我们更喜欢这种无线选项。YubiKey 5Ci是一种安全钥匙，一面是USB-C，另一面是Apple Lightning接口。与其他钥匙相比，YubiKey 5Ci价格昂贵，而且不支持NFC。

就其本身而言，苹果在其文档中推荐了YubiKey 5C NFC、YubiKey 5Ci和Feitan ePass K9 NFC USB-A。虽然我们一致认为YubiKey 5C NFC是一个很好的选择，但YubiKey Security Key C NFC对于初学者来说可能是更好的选择，因为它的价格是5C的一半。请注意，Yubio已经停止生产这款钥匙的蓝色版本，新的黑衣钥匙即将问世。

最后一个问题是，苹果的在线支持文档

说您必须使用已由FIDO认证的密钥，FIDO是管理安全密钥运行所依据的开放标准的组织。我们还没有测试过这是否真的是苹果强制执行的，或者这只是一种最佳实践。

如何为Apple ID设置安全密钥

在你使用苹果ID注册安全密钥之前，有几件事需要做。最重要的是，如果你还没有为你的苹果ID启用MFA，你将不得不等待几周才能添加安全密钥。据推测，这是为了防止有人接管您的帐户，然后通过注册安全密钥将您锁定。不要担心：有任何形式的MFA总比没有好，而且你的账户不会在你等待的时候成为靶子。

当然，您还需要有两个硬件安全密钥。记住，苹果要求你注册两个密钥，所以要把它们都放在手边。如果您之前已经为您的安全密钥设置了PIN，系统将提示您也输入该密码。

在开始之前，你还应该更新你所有的苹果设备。Apple仅支持在iOS 16.3、iPadOS 16.3或MacOS Ventura 13.2或更高版本上注册安全密钥。

最后，确保您的密码(理想情况下是随机生成并存储在密码管理器中)随身携带，并有一些方法来验证您的身份。苹果经常使用你已经登录的其他设备进行验证，所以在手边准备好另一台苹果移动设备或电脑。在我们的测试中，我们只有一台Apple设备可用，并且能够使用之前在Apple注册的电话号码来验证我们的身份。

在你开始之前，苹果在其在线文档中注意到了几个警告。如果你的Apple Watch与你没有登录的设备(比如你配偶的iPad)配对，你会想要将你的Apple Watch与你登录的设备配对。苹果还表示，受管理的苹果ID和儿童苹果ID没有资格获得安全密钥。最后，苹果警告称，你将无法再登录iCloud for Windows。

在iOS或iPadOS上，打开设置应用程序，然后在菜单顶部点击你的名字。在下一个屏幕上，点击密码和安全，然后点击添加安全密钥。

然后，系统将提示您插入或轻触您的第一个安全密钥。如果您正在插入它，系统还会提示您轻触键以进行确认。如果您使用NFC注册密钥，则应轻触并按住屏幕顶部的键。它会要求您执行此操作两次。有时，设备读取密钥需要一到两分钟的时间，所以不要移动它，除非被告知无法读取。如果您之前已为安全密钥设置了PIN，则现在必须输入它。

注册第一个密钥后，系统将提示您使用第二个安全密钥重复该过程。

最后，您将看到一个已与您的Apple ID关联的设备列表。您现在可以选择保持登录状态或远程注销这些设备。如果你看到你不再使用甚至不再拥有的旧设备，一定要把它们注销。

要在MacOS中注册密钥，请依次单击Apple菜单和系统首选项，在面板左上角单击您的姓名，然后单击密码和安全。之后，单击安全密钥，然后选择添加。应引导您完成类似于在移动设备上注册密钥的设置过程。

请记住，要在苹果台式机或笔记本电脑上注册密钥，您将在出现提示时将其插入适当的端口-而不是依赖NFC。

祝贺你!您现在正在使用安全密钥保护您的Apple ID。

如何使用安全密钥登录您的Apple ID

下次登录苹果设备时，您可以像往常一样输入您的Apple ID用户名和密码。一旦这些都被接受了，你就会被提示插入你的安全密钥，或者如果你使用的是移动设备，就会点击它。同样，如果你插入按键，系统会提示你点击，如果你在移动设备上敲击按键，你会想要瞄准屏幕顶部，等待一两下节拍。

当你试图通过浏览器登录苹果的在线服务时，你还需要你的安全密钥。同样，您需要输入您的用户名和密码，然后插入笔记本电脑或台式机并点击，或者在移动设备上点击按键。

在我们的测试中，我们能够使用Chrome、Opera或Safari毫无问题地登录到appleid.apple.com。然而，我们在尝试使用Firefox时收到一条错误消息。

不幸的是，当你登录某些苹果设备时，你将无法使用安全密钥–特别是苹果电视和HomePod。对于这些设备，你需要使用另一台苹果设备来验证你的身份。

如果你丢失了你的安全钥匙，你该怎么办？

安全密钥的优势在于它是一种东西，而不是一款提供代码的应用程序或服务。缺点是，安全密钥是一种可能丢失或被盗的东西。幸运的是，苹果要求你注册第二个安全密钥，其中一个作为第一个密钥的备份。

如果你丢失了两个安全密钥，你可能需要花一些时间来重新安排你的生活，就在你重新控制你的账户之后。如果你启用了另一种身份验证选项–比如接收苹果发送到你设备上的代码或通过短信–你应该尝试使用这些选项来访问你的账户。苹果在其文档中指出，只要你至少登录了你的一台设备，你应该能够重新控制你的账户。一旦您能够访问帐户设置，您将想要取消注册您的安全密钥。如果你再次找到他们，你可以简单地重新注册他们。

最好通过准备好大量的备份选项来为这种可能发生的情况做好准备。苹果提供了两个账户恢复选项：恢复联系人和恢复密钥。在iOS和iPadOS上，你可以通过点击设置，然后点击Apple ID(在菜单顶部点击你的名字)，然后点击密码和安全，最后在iPhone或iPad上点击账户恢复来找到这两个选项。

• 在MacOS上，您可以找到恢复联系人选项
• 在系统首选项的密码和安全设置中。恢复密钥选项
• 位于MacOS系统首选项的帐户详细信息区域。

恢复联系人是您提名的可以验证您重新访问Apple ID的请求的人。然而，对于您可以为此角色选择的人有一些限制。合格的候选人必须年满13岁，为他们的Apple ID激活MFA，在他们的设备上运行相当新的操作系统，并使用iMessage。在我们的测试中，我们提名的人拥有有效的Apple ID，但使用Android移动设备进行消息传递，因此我们无法提名此人。

恢复密钥没有这样的限制。相反，您需要为您的帐户生成28位数的恢复密钥。当所有其他方法都失败时，您可以使用这一长串文本字符来解锁帐户。一定要把你的钥匙放在一个安全的地方，也许可以把它写在安全的地方。其他网站和服务提供类似于恢复密钥的功能(有时称为备份代码或备份密钥)，我们鼓励每个人在可用的地方使用它们。请注意，当您使用Apple生成恢复密钥时，系统将提示您输入整个内容以进行确认，因此请做好准备。如果您丢失了恢复密钥，您可以从您仍在登录的设备上生成新的密钥。

更悲观的是，苹果还允许你选择一个人，如果你去世了，他可以接管你的苹果ID。这可能看起来无关紧要，但除非你的家人知道你使用了什么MFA选项以及在哪里可以找到你的安全密钥，否则他们将无法访问你的Apple ID。在iOS上，你可以在Legacy Contact下找到该选项

密码和安全设置菜单中，以及MacOS系统首选项中的密码和安全设置。

你应该在你的苹果ID中使用安全密钥吗？

安全密钥可能是最安全的MFA选项，但这并不意味着它们对每个人都有效。安全钥匙是要花钱的，它们可能会丢失，你必须把它们放在手边才能登录。如果所有这些听起来超出了您的能力范围，您应该使用不同的MFA选项。归根结底，最重要的是尽你所能采取措施保护你的所有账户。

– – END – –