密码与账号安全:你的第一道防线

你的 iPhone 里藏着银行卡、社交账号、工作邮箱……如果密码这道门没锁好,其他安全措施都是摆设。

先做个小测试:你现在用的密码,有几个网站在共用同一个?如果答案大于一,那你并不孤单——调查显示,超过一半的人在多个网站使用相同或相似的密码。问题在于,只要其中一个网站被黑客攻破,你所有用同一密码的账号就像多米诺骨牌一样,全部暴露。

好消息是,iPhone 其实早就帮你准备好了一整套密码管理方案,而且从 iOS 18 开始,这套方案变得前所未有地好用。你不需要额外下载任何 App,不需要花钱订阅,只需要花几分钟了解一下,就能让账号安全提升好几个等级。

这篇文章会讲四件事:密码 App 怎么帮你管密码、通行密钥是什么、双重认证为什么重要、以及怎么检查你的密码有没有被泄露。每一件都不难,但每一件都值得做。

密码 App:你的免费密码管家

一句话总结:iPhone 自带的密码 App,能帮你自动生成复杂密码、自动填入、跨设备同步,而且完全免费。

从 iOS 18 开始,苹果把原来藏在「设置」深处的密码管理功能,单独做成了一个叫「密码」的 App(英文名 Passwords)。打开主屏幕就能找到它,图标是一把钥匙的样子。

iOS 18 密码 App 界面 iOS 18 全新的密码 App,所有账号密码一目了然

它能帮你做什么

  • 自动生成强密码:注册新账号时,iPhone 会弹出一个建议密码,类似 xK7#mP2$qL9v 这种人类根本记不住但极其安全的组合。你只需要点一下「使用强密码」,它就帮你存好了。
  • 自动填入:下次登录时,密码 App 会认出你在哪个网站或 App,自动弹出已保存的账号密码,用 Face ID(面容识别)验一下脸就填好了。整个过程不到两秒。
  • 跨设备同步:通过 iCloud 钥匙串(iCloud Keychain,苹果的云端密码同步服务),你在 iPhone 上保存的密码会自动同步到 iPad、Mac,甚至 Windows 电脑上的 iCloud 客户端。换设备也不用重新记密码。
  • 存 Wi-Fi 密码:去朋友家连过的 Wi-Fi 密码,也能在密码 App 里找到。下次朋友问「你上次连的那个密码是啥」,直接打开看就行。
  • 存验证码:有些网站需要验证器生成的六位数动态验证码,密码 App 也能帮你管理这些验证码,不再需要额外装 Google Authenticator 之类的工具。

怎么开始用

如果你之前已经在用 iPhone 并且在 Safari 里保存过密码,恭喜你——密码 App 里已经有你所有的密码了,不需要额外操作。打开「密码」App,用 Face ID 或 Touch ID(指纹识别)解锁就能看到。

如果你是新用户,只需要确保一件事:打开 iCloud 钥匙串。路径是:「设置」→ 点你的名字 → 「iCloud」→ 「密码和钥匙串」→ 打开「同步此 iPhone」。打开之后,以后你在 Safari 或 App 里保存的每一个密码,都会自动收录进来。

💡 深入了解:密码 App 的所有数据都使用端到端加密(意思是只有你自己能解密,连苹果公司都看不到你的密码)。所以不用担心「把密码存在云上会不会不安全」——这比你用 Excel 表格记密码安全得多。

通行密钥:不用记密码的未来

一句话总结:通行密钥(Passkey)让你用 Face ID 直接登录,不需要输入任何密码,而且比传统密码更安全。

你可能会想:密码管理器已经够方便了,为什么还需要新东西?因为密码这个概念本身就有天然缺陷——不管密码多复杂,它终究是一串字符,可以被猜到、被钓鱼骗走、被网站泄露。而通行密钥,从根本上绕开了这些问题。

通行密钥是什么

用最通俗的话说:通行密钥就是用你的脸(Face ID)或指纹(Touch ID)代替密码来登录。 你不需要记住任何东西,也不需要输入任何东西。

技术上,它的原理大致是这样的:你的 iPhone 会生成一对「钥匙」——一把「私钥」锁在你的设备里,一把「公钥」交给网站。登录时,网站用公钥出一道题,你的 iPhone 用私钥解题,再通过 Face ID 确认是你本人在操作。整个过程你只需要看一眼手机。

为什么比密码更安全

  • 不会被钓鱼:传统密码可以被假网站骗走,但通行密钥和特定网站绑定,假网站根本触发不了你的通行密钥。
  • 不会泄露:网站服务器只存了公钥,就算被黑客攻破,拿到的也只是一把没有配对私钥的「锁」,完全没用。
  • 不用记:因为根本没有密码可记。

怎么使用

越来越多的网站和 App 开始支持通行密钥,包括 Google、微软、PayPal、GitHub 等等。当你在支持的网站注册或登录时:

  1. 网站会提示你「创建通行密钥」或「使用通行密钥登录」
  2. iPhone 弹出确认,你用 Face ID 验证一下
  3. 搞定。下次登录时同样验一下脸就行

通行密钥也通过 iCloud 钥匙串同步,所以你在 iPhone 上创建的通行密钥,在 iPad 和 Mac 上也能用。甚至在朋友的电脑上,你也可以用 iPhone 扫个码来完成登录。

密码 App 中的通行密钥管理 密码 App 中专门有一个「通行密钥」分类,管理起来很清晰

💡 通行密钥目前还没有覆盖所有网站,所以暂时不能完全抛弃密码。但只要看到网站支持,就尽量用通行密钥——它确实是更好的方案。

双重认证:给账号上第二把锁

一句话总结:双重认证就是登录时除了密码之外,还要用手机收一个验证码。就算密码被偷了,没有验证码也登不进去。

想象一下你家的门:密码是门锁,双重认证就是门锁之外再加一条防盗链。小偷就算配了钥匙(猜到了你的密码),没有防盗链的钥匙(你手机上的验证码),还是进不来。

Apple 账户的双重认证

Apple 账户(就是你的 Apple ID)的双重认证尤其重要,因为它管着你的 iCloud 数据、App Store 购买记录、甚至「查找我的 iPhone」功能。苹果从 iOS 16.4 开始,所有新创建的 Apple 账户都默认开启双重认证。

如果你的账户还没有开启,强烈建议立刻开启:

  1. 打开「设置」
  2. 点顶部你的名字
  3. 点「登录与安全性」
  4. 点「双重认证」,按提示完成设置

开启之后,每次在新设备上登录你的 Apple 账户时,你现有的受信任设备(比如你的 iPhone)会收到一个六位数验证码,输入后才能登录。

恢复密钥:最后的保险

苹果还提供了一个叫「恢复密钥」(Recovery Key)的功能——它是一个 28 位的字符串,当你无法访问受信任设备又收不到验证码时,可以用它来恢复账户。

设置路径:「设置」→ 你的名字 →「登录与安全性」→「恢复密钥」。

设置完之后,务必把这串字符抄在纸上,放在安全的地方(比如保险箱或者交给信任的家人)。不要截图存在手机里——万一手机丢了,截图也一起没了,那就真的两头落空了。

其他账号也要开

不只是 Apple 账户,你常用的这些服务都应该开启双重认证:

  • 微信/支付宝:涉及钱的 App,不开简直是裸奔
  • 邮箱(QQ 邮箱、Gmail 等):很多网站用邮箱找回密码,邮箱被盗等于所有账号被盗
  • 社交媒体(微博、抖音等):被盗号发诈骗信息,朋友可能真的会信

每个平台开启双重认证的方式略有不同,但通常都在「安全设置」或「账号保护」里能找到。

安全建议:你的密码泄露了吗

一句话总结:iPhone 会自动检测你保存的密码有没有出现在已知的泄露数据库中,如果有,它会直接告诉你,点一下就能去改。

这可能是整篇文章里最实用的功能了。你不需要去什么「密码泄露查询网站」自己搜,iPhone 已经在后台帮你做了。

怎么查看

打开「密码」App,你会看到一个叫「安全」的分类(图标是一个感叹号三角形)。点进去,里面会列出所有存在安全风险的密码,分为几类:

  • 已泄露的密码:这个密码已经出现在已知的数据泄露事件中,必须立刻修改
  • 重复使用的密码:多个网站用了同一个密码,一旦其中一个泄露,其他的也危险
  • 容易猜到的密码:类似 123456、password、你的生日这种,形同虚设

密码 App 中的安全建议界面 密码 App 的「安全」页面会清楚列出所有有风险的密码

怎么修改

点击任何一条有风险的密码,会看到具体的风险说明和一个「更改密码」按钮。点击后会直接跳转到对应网站的密码修改页面,改完之后 iPhone 会自动帮你保存新密码。整个过程非常丝滑。

保持检测开启

确保这个功能是打开的:「设置」→「App」→「密码」→ 确认「检测已泄露的密码」开关是开启状态。

苹果使用了一种特殊的加密技术来完成这个检测——它不会把你的密码原文发给任何人,而是用一种数学方法来核对。所以你的隐私是安全的。

💡 建议每隔一两个月打开「安全」看一眼。互联网上每天都有新的数据泄露事件发生,昨天安全的密码今天可能就不安全了。

踩坑指南

  1. 「我密码太多记不住,干脆都用同一个」——这是最常见也最危险的做法。有了密码 App,你根本不需要记密码。让 iPhone 帮你生成、帮你记、帮你填,你只需要记住 iPhone 的锁屏密码就够了。

  2. 「我把密码都记在备忘录里」——备忘录没有加密保护,万一手机被人拿到,密码一览无余。密码 App 每次打开都需要 Face ID 验证,安全等级完全不同。

  3. 「双重认证太麻烦了,每次都要输验证码」——其实你自己的设备登录过一次之后,就不会再反复要求验证码了。双重认证主要防的是别人在陌生设备上登录你的账号。那几秒钟的验证码,换来的是巨大的安全保障。

  4. 「通行密钥没听说过,先不管了」——不急,但如果你在注册新网站时看到「创建通行密钥」的选项,不妨试一下。用了就知道有多方便。

  5. 「恢复密钥我截图存手机里了」——手机丢了或者被锁了,截图也一起没了。恢复密钥一定要写在纸上或者存在其他安全的地方。

四件事做到,账号基本不会出问题

账号安全听起来复杂,但在 iPhone 上其实只需要做好这四件事:

要做的事 花费时间 安全提升
开启密码 App + iCloud 钥匙串 2 分钟 从此告别重复密码
看到通行密钥选项就用 每次多 3 秒 从根本上杜绝密码泄露风险
给重要账号开启双重认证 每个账号 5 分钟 密码被盗也不怕
定期查看「安全」页面 每月 1 分钟 第一时间发现泄露风险

四件事加起来,可能还不到一集电视剧的时间。但这点时间换来的,是你所有账号的安全感。值得。