英国政府网络安全技术主管机构——隶属于英国政府通信总部(GCHQ)的国家网络安全中心(NCSC)近日更新官方指导意见,正式建议消费者在各类数字服务中优先选择“通行密钥”(Passkeys)而非传统密码作为首选登录方式。这一表态于上周四对外公布,标志着英国官方在身份验证技术路线上的立场出现重要转变。
报道称,NCSC之所以此次明确支持通行密钥,与过去一年相关技术和生态环境的进展密切相关。就在去年,NCSC虽然已关注这一方案,但由于实施层面仍存在若干关键障碍,当时并未正式背书推广。如今,随着相关配套能力逐步完善,NCSC认为通行密钥已经具备向公众推广的条件,并将其定位为一种更安全、也更便于用户使用的登录方式。同时,该机构还呼吁企业将通行密钥设为面向消费者提供的默认认证选项。
NCSC国家韧性事务主管乔纳森·埃里森在谈及这一变化时表示,在条件允许的情况下采用通行密钥,是迈向“更安全、更简化”登录体验的重要一步。他指出,长期以来,用户一直受到记忆和管理密码所带来的困扰,而随着用户逐步转向通行密钥,这类问题已不再是网络登录过程中无法摆脱的一部分。埃里森同时强调,通行密钥不仅更易用,也能带来更强的整体安全韧性;在英国希望大规模提升国家网络防御能力的背景下,推广通行密钥将成为公众改善日常数字服务安全、应对现代及未来网络威胁的现实举措。
从实际应用层面看,通行密钥虽然被官方认定为对普通公众更强的安全方案,但其当前普及程度仍远不及传统密码,短期内也难以完全取而代之。对于尚未支持通行密钥的网站和在线服务,现阶段的官方建议仍包括:借助密码管理器生成高强度密码,并同时启用双重身份验证,以提高账户安全性。
此外,英国政府去年已表示,将在其数字公共服务中逐步引入通行密钥,把它作为短信验证码验证机制的替代方案之一。英方预计,这一调整未来每年可节省数百万英镑开支。