iOS 16.3 – 硬件安全密钥说明

Apple 在 iOS 16.3 中推出了硬件安全密钥支持，但它们是什么，您应该考虑使用它们吗？观看我的动手视频演练，了解为什么 Apple 为 Apple ID 添加了硬件安全密钥支持，展示了如何使用硬件安全密钥，并回答了一些常见问题。

这篇书面演练解释了很多关于安全密钥的内容，展示了我在这里没有涉及的功能。

Apple ID 的硬件安全密钥

iOS 16.3 为 iPhone 和 iPad 带来了两大以安全为中心的新功能：高级数据保护，以及对 Apple ID 的第三方硬件安全密钥的支持。在我之前的 iOS 16.3 演练中，我解释了为什么安全密钥对某些人特别有吸引力：

视频：解释 iOS 16.3 硬件安全密钥

需要明确的是，大多数用户坚持使用标准的基于六位数代码的双因素身份验证会很好，但对于知名度特别高的用户——名人、政府官员、9to5Mac博主😆——选择第三方硬件密钥支持可以进一步加强帐户安全。由于硬件密钥是用户手头上的物理认证设备，它们甚至可以防止高级攻击者通过网络钓鱼诈骗或其他攻击获得用户的第二因素。

如何选择硬件安全密钥

Apple 不提供自己的硬件安全密钥。相反，它与 FIDO 联盟合作以确保与开放标准的跨平台兼容性。因此，第三方 FIDO 认证安全密钥应与 iOS 16.3 的硬件安全密钥功能配合使用。我尝试过的所有 FIDO2 和 FIDO U2F 密钥都运行良好。FIDO2 协议是 FIDO U2F 的演变，具有扩展的身份验证选项。有关认证密钥的列表，请访问 FIDO 认证展示页面。

最初，我从亚马逊购买了两个飞天 FIDO U2F FIDO2 硬件安全密钥。这些钥匙同时具有 USB-A 和 NFC 连接功能，允许它通过 USB-A 加密狗连接到 Mac、iPad 和 iPhone，并通过无线 NFC 连接到 iPhone。与许多其他公司一样，飞天的密钥由 NXP 半导体公司保护，这是一家荷兰公司，与索尼共同发明了 NFC。

我还购买了两个 Yubico 密钥。Yubico Security Key C 具有 NFC 连接功能，但带有 USB-C 连接而不是 USB-A。USB-C 连接允许它连接支持 USB-C 的 iPad 和 Mac，而无需加密狗，使其成为我最喜欢的钥匙。

YubiKey 5 提供多协议支持，包括 FIDO2、Yubico OTP、OATH HOTP、U2F、PIV 和 Open PGP。该密钥具有 USB-A 和 NFC 连接功能，并且由于其多协议性质，是此处提到的所有硬件密钥中最昂贵的。如果您只关心保护您的 Apple ID，最好坚持使用更便宜的选项，因为使用其他协议与 Apple 对安全密钥的支持无关。

如有必要，iPhone、iPad 和 Mac 将能够通过加密狗使用具有 USB 连接的硬件安全密钥，而 iPhone 还可以利用更方便的支持 NFC 的密钥。遗憾的是，Mac 和 iPad 都没有 NFC 功能。您会发现许多兼容 FIDO 的密钥都在同一个密钥中同时支持 USB 和 NFC。USB 连接使用 HID 协议，例如用于无驱动接口的键盘。

一个有趣的事实是，安全密钥支持已经融入 Safari 一段时间，甚至在 iOS 16.3 推出之前。例如，我可以使用我的第一代 iPhone SE和闪电转 USB-A 加密狗登录 Apple ID 网站并使用安全密钥进行身份验证。iOS 16.3 仅适用于系统级内容。

如何在 iOS 16.3 中添加硬件安全密钥

Apple 要求用户最初设置至少两个键，但如果您愿意，您可以添加更多（最多六个）。这个两把钥匙的要求是为了在其中一把钥匙丢失或损坏的情况下您仍然可以进行身份验证。但即使您确实丢失了所有密钥，只要您将受信任的设备连接到您的 Apple ID，您将始终能够回滚到六位数代码作为第二种身份验证方式。

在启用安全密钥之前，请确保满足以下所有条件：

• 您的 Apple ID 启用了双因素身份验证。
• 您的设备已启用密码/密码。
• 您在要添加密钥的设备上运行最新版本的软件：
  • iPhone 需要是 iOS 16.3 或更高版本
  • iPad 需要 iPadOS 16.3 或更高版本
  • Mac 需要是 macOS 13.2 或更高版本
  • 无法从 Apple Watch、Apple TV 或 HomePod 添加密钥
• 设置硬件密钥后，您将无法手动登录尚未更新至 iOS 16.3 的设备。相反，您会收到一条需要软件更新的消息。您必须将这些设备更新到 iOS 16.3 或更高版本，使用快速启动进行设置以绕过登录请求，或者禁用硬件安全密钥。

第 1 步：转到设置 →→ 密码和安全性 → 添加安全密钥。

第 2 步：在“安全密钥”页面上，点击蓝色的添加安全密钥按钮。

第 3 步：在“您需要两个安全密钥”页面上，点击继续。

第 4 步：输入您的 iPhone 或 iPad 密码以解锁您的设备以添加安全密钥。

第 5 步：使用 NFC 或 USB 添加第一个安全密钥。

第 6 步：为您的安全密钥起一个唯一的名称以便区分它们，然后点击右上角的“下一步”按钮。

第 7 步：添加第二个安全密钥，为其命名，然后点击下一步。

第 8 步：Apple 现在将显示已登录您帐户的所有活动设备的列表。由于已登录的设备不需要重新验证，现在是查看您帐户中的活动设备的好时机。

如果您可以在所有列出的设备上保持登录状态，请点按在所有设备上保持登录状态。否则，请点击您要注销的设备旁边的单选按钮，然后点击注销设备并再次点击注销设备进行确认。

第 9 步：最后，您将看到说明已添加您的安全密钥的页面。点击完成按钮以完成该过程。

关于非活动设备的注意事项：在安全密钥设置期间，您将自动退出所有非活动设备。如果设备超过 90 天未被使用或解锁，Apple 会将其归类为非活动设备。您需要更新到最新的软件版本并使用安全密钥重新登录。如果设备是不支持 iOS 16.3 的旧设备，例如上述 iPhone SE，您将无法在启用安全密钥的情况下重新登录。您需要先禁用安全密钥，登录，然后启用安全密钥。

如何使用硬件安全密钥进行身份验证

设置硬件安全密钥后，您现在可以将它们与密码一起用作第二个因素，以使用您的 Apple ID 登录设备。您在以下任何时候都需要您的钥匙：

• 在新设备上使用您的 Apple ID 登录。
• 从未经身份验证的设备在网络上使用您的 Apple ID 登录。
• 重置您的 Apple ID 密码或解锁您的 Apple ID。

使用快速入门设置 iPad 或 iPhone

大多数人会通过快速启动设置新的 iPhone 或 iPad。通过 Quick Start 设置的设备从用于设置它的设备继承经过身份验证的访问权限，这意味着如果源 Quick Start 设备已经过身份验证，您将不需要使用硬件安全密钥进行身份验证。

如果用于快速入门的源设备运行的是 iOS 16.2 或更低版本，但您要设置的新设备运行的是 iOS 16.3，您将能够使用您的安全密钥通过您的 Apple ID 进行身份验证和登录。

如果使用 Quick Start 的原始设备运行的是 iOS 16.2 或更低版本，而您正在设置的新设备运行的是 iOS 16.2 或更低版本，您将无法使用您的 Apple ID 登录。相反，您会看到一条消息，指出需要更新软件。然后您可以跳过 Apple ID 登录，完成设备设置，更新到 iOS 16.3 或更高版本，然后使用您的 Apple ID 登录。

手动设置 iPad 或 iPhone

手动设置运行 iOS 16.3 或更高版本的设备时，您需要使用硬件安全密钥来验证并使用您的 Apple ID 登录。

尝试手动设置运行 iOS 16.2 或更低版本的设备时，您将无法使用您的 Apple ID 登录。相反，您会看到一条消息，指出需要更新软件。然后您可以跳过 Apple ID 登录，完成设备设置，更新到 iOS 16.3 或更高版本，然后使用您的 Apple ID 登录。

如何在 iOS 16.3 中禁用硬件安全密钥

可以通过 iOS、iPadOS 或 macOS 设备禁用安全密钥。以下是在 iOS 或 iPadOS 上禁用安全密钥的方法：

第 1 步：转到设置 →→ 密码和安全 → 安全密钥

第 2 步：点击密钥的名称，然后点击删除密钥。如果启用了三个或更多键，则只能删除单个键。

第 3 步：输入您的 iPhone 密码以解锁并删除单个密钥。

第 4 步：要删除所有密钥，请点击“删除所有密钥”按钮，然后点击“删除”进行确认。

第 5 步：输入您的 iPhone 密码以删除所有安全密钥。

删除所有密钥将禁用硬件安全密钥，并恢复使用六位数验证码进行双因素身份验证。

结论

硬件安全密钥不如我们一直用作 Apple 双因素身份验证设置中的第二个因素的六位数代码方便，但它们是一种更安全的解决方案，因为只有您才能物理访问它们.如果您是知名用户并且担心高级网络钓鱼或社会工程诈骗，那么硬件密钥可能有助于让您高枕无忧。

您打算使用安全密钥吗？如果有任何想法、问题或疑虑，请在下面的评论中说出来。