隨著 iOS 16.3 和 macOS 13.2 Ventura 的發布,Apple 為 Apple ID 添加了安全密鑰,提供了一種更強大的方式來保護您的 Apple 帳戶以及與您的 Apple 帳戶相關的所有內容。
安全密鑰是一種使用雙因素身份驗證的物理設備。當您在設置安全密鑰後在另一台設備上登錄您的 Apple ID 時,無需使用輔助 Apple 設備生成的代碼進行身份驗證,而是需要通過實際插入設備的物理密鑰進行身份驗證。
您可以使用任何 FIDO 認證的安全密鑰來激活該功能,Apple 推薦 YubiKey 5C NFC 和 YubiKey 5Ci,這兩款設備由 尤比科。 Yubico 向我發送了一對安全密鑰,以便我可以使用 Apple 的安全密鑰功能試用它們。
YubiKey 5Ci 有一個 USB-C 連接器和一個閃電連接器,因此它可以可以插入 iPhone、iPad、Mac 和其他使用這些連接器的設備,而 YubiKey 5C NFC 具有 USB-C 連接器,並且能夠與支持 NFC 的設備連接。
Apple 今年取消了 iPhone 中的 Lightning 端口,並且因為我沒有任何沒有 NFC 的設備,所以我選擇了 YubiKey 5C NFC 來保證未來的安全,但如果您打算擁有帶有 Lightning 的 iPhone 或 iPad如果您有興趣使用安全密鑰,5Ci 可能是更好的選擇。
可以在iPhone、iPad上設置安全密鑰, 或麥克。請注意,無論您選擇哪種安全密鑰產品,都必須有兩個,而不僅僅是一個。出於冗餘目的,Apple 需要雙安全密鑰,Yubico 也推荐一對。這樣做的原因是,如果你丟失了你的物理安全密鑰,如果你在安全的地方沒有另一個密鑰,你將無法訪問你的 Apple ID。您將要將安全密鑰存儲在兩個不同的位置。
在 iOS 設備或 Mac 上,可以通過“設置”應用的“密碼和安全”部分啟用安全密鑰。在添加安全密鑰之前,您需要退出所有非活動設備,包括您在過去 90 天內未使用過的設備。舊設備根本不支持安全密鑰。
我必須經歷這個過程,我想指出它不能正常工作(這不是 YubiKey 的錯)。 Apple 的流程將我從不受支持的設備或我未登錄的設備中註銷,但隨後安全密鑰設置將無法進行。我切換到 Mac 繼續,運氣更好。
設置過程要求我連接安全密鑰,這是我使用 USB-C 連接的,然後我必須按讓 Mac 識別它的關鍵。蘋果讓我給它起個名字,然後重複這個過程來添加第二個安全密鑰。 
在那之後,我被指示查看我的活動設備列表並選擇是否退出其中的任何設備。有一個選項可以保持登錄狀態,這是我選擇的。在設置過程之後,Apple 指示我將密鑰單獨存放在安全的地方,並說明我可以在未來添加其他密鑰。 
設置屏幕底部還有一行,清楚表明如果兩個密鑰都丟失,Apple 無法幫助訪問與安全密鑰綁定的帳戶,應該發出警告可能是粗體字。 Apple 發送了一封關於安全密鑰設置過程的電子郵件,在 Mac 和 iOS 設置中,我可以查看我連接的安全密鑰並將它們刪除。 
當我嘗試在 Mac 上的設備上登錄我的 Apple ID 時,我被指示插入並激活我的一個安全密鑰。此過程需要將密鑰插入 USB-C 端口並按下以激活它。嘗試登錄時,我會在所有設備上收到通知。 
在 iPhone 上,登錄過程類似,但 YubiKey 需要靠近 iPhone 的 NFC 閱讀器(設備頂部)並激活以進行身份驗證。一般來說,在我測試過的每台 Mac、iPhone 和 iPad 上,這都是一個簡單的過程。我所有的設備都運行 iOS 16.3 或更高版本或 macOS Ventura 13.2 或更高版本,它們都支持 USB-C 或 NFC。在未更新或不支持 USB-C/NFC 的設備上,該過程可能不是無縫的,可能需要適配器。 
激活安全密鑰時我主要擔心的是我會丟失一個。 YubiKeys 和其他安全密鑰體積小、不顯眼且容易丟失,因為它們被設計為保密和隱藏。 YubiKey 的頂部有一個用於放置鑰匙圈的孔,所以我要添加一個鑰匙圈到一個放在我辦公室安全地方的鑰匙圈,第二個放在更安全的地方。
根據 Apple 的說法,使用物理安全密鑰的雙因素身份驗證比使用數字代碼的身份驗證更安全,但風險更高。如果我的 YubiKeys 丟失了,我將無法追踪它們,但如果我丟失了一個並需要它來獲取代碼,我可以追踪我所有的輔助 Apple 設備。也就是說,身份驗證過程非常簡單,甚至比從另一台 Apple 設備獲取代碼還要快。
YubiKeys不需要充電而且看起來很耐用所以遠基於來自 YubiKey 用戶的軼事報告,這很好,因為我也很擔心打破一個。最終,我想我可能會在我的帳戶中添加第三個密鑰以提供另一層保護,因為我一次丟失或破壞三個密鑰的可能性很小。具有 IP68 防水等級,因此它可以承受液體浸泡,並且它的存儲溫度為-4 °F 至 185 °F。
對於某些服務(例如使用 Apple ID 或 Twitter),您不需要應用程序來使用 YubiKey,但對於其他服務,則需要安裝 Yubico Authenticator。 Yubico Authenticator 類似於 Google Authenticator 或 Authy,生成使用 YubiKey 的代碼。
我無法使用 Instagram 設置 YubiKey,因為 Instagram 的身份驗證過程加上 Yubico 應用程序根本不會工作。該應用程序無法識別密鑰,因此請注意可能涉及一些故障排除。 YubiKey 在支持的帳戶方面存在限制。它最多可以存儲 25 個用於免密碼登錄的 FIDO2 憑據、兩個 OTP 憑據、32 個用於一次性密碼的 OATH 憑據(與 Yubico 身份驗證器配對時)以及無限數量的 U2F 憑據。如果你有超過 32 個需要一次性密碼的帳戶,YubiKey 可能不是最好的解決方案,因為它只適用於 32 個登錄。 
除了 Apple ID 之外,YubiKey 還可以用於其他具有雙因素身份驗證的網站和服務。支持 Google、Microsoft、1Password、LastPass、Facebook、Twitter、Instagram、比特幣錢包、政府賬戶等。
底線
如果您的目標是更好YubiKey 系列值得一看。它提供比通過數字代碼獲得的更好的保護,但價格昂貴,如果您想要一個多用途物理驗證器,則需要注意一些限制。
如何購買
我在這篇評論中使用的 YubiKey 5C NFC 售價為 55 美元,它可以從 Yubico 網站購買。帶有閃電接口和 USB-C 接口的 YubiKey 5Ci 售價 75 美元。