谷歌正在通过增加使用通行密钥（passkeys）存储安全加密密钥的选项，而非依赖实体令牌设备，来简化用户采用强多重因素认证（MFA）锁定账户的过程。谷歌在2017年推出的高级保护计划（Advanced Protection Program，APP）要求使用最强大的多重因素认证形式。

不同于许多依赖短信、电子邮件发送的一次性密码或身份验证应用程序生成的MFA形式，加入高级保护的账户需要基于存储在安全物理设备上的加密密钥的MFA。

与一次性密码不同，存储在实体设备上的安全密钥不受凭证钓鱼攻击的影响，也无法被复制或窃取。

使APP大众化APP，即高级保护计划的简称，要求用户在新设备上登录账户时必须同时使用密码和密钥。这种保护措施防止了像2016年克里姆林宫支持的黑客侵入民主党官员的Gmail账户并泄露被盗邮件以干预当年总统选举的那种账户接管事件。直到现在，谷歌要求人们需要有两个实体安全密钥才能加入APP。

而现在，公司允许人们可以选择使用两个通行密钥或者一个通行密钥和一个实体令牌。对于寻求更高安全性的用户，他们可以注册任意数量的密钥。“我们正在扩大选择范围，让人们在加入这个计划时有更多的方式。

”APP项目负责人Shuvo Chatterjee告诉Ars。他表示，这一改变是对部分用户的反馈做出的回应，这些用户要么买不起实体密钥，要么居住或工作在无法获取实体密钥的地区。一如既往，用户仍然需要有两个密钥才能注册，以防其中一个丢失或损坏导致无法登录账户。

虽然账户被锁总是个问题，但对于APP用户而言，这个问题可能更为严重，因为恢复过程比非APP账户要严格得多，耗时也更长。

谷歌的这一变化使得更多用户能够根据自己的情况灵活选择安全密钥的类型，同时也降低了加入高级保护计划的障碍，让更多的用户能够享受到更高层次的安全防护，即便是在资源有限的环境下。

通行密钥是由FIDO联盟创建的，该联盟是一个由数百家公司组成的跨行业团体。这些密钥本地存储在设备上，也可以存储在与MFA密钥相同的硬件令牌中。通行密钥不能从设备中提取，需要PIN码或指纹或面部扫描才能使用。

它们提供了两因素认证：用户知道的东西——在最初生成通行密钥时使用的底层密码——以及用户拥有的东西——即存储通行密钥的设备。当然，放宽的要求仅限于此，因为用户仍然需要拥有两个设备。

但是，通过扩大所需设备的种类，APP变得更加可及，因为许多人已经拥有一部手机和一台电脑，Chatterjee说道。“如果你身处一个无法获取安全密钥的地方，这样就更加方便了，”他解释说，“这是朝着让所有用户都能接触到谷歌提供的最高安全层级的方向迈出的一步。

”尽管APP账户的恢复过程涉及更多的审查，谷歌还是重新推荐用户提供电话号码和电子邮件地址作为备份。“最稳妥的做法是记录多个联系信息，所以如果你丢失了安全密钥或密钥失效，你仍有办法重新进入你的账户，”Chatterjee说。他没有提供关于这一过程运作方式的“秘密配方”详情，但他表示，这涉及到“我们查看的大量信号，以弄清楚到底发生了什么。”

“即使你有恢复用的电话，单凭一个恢复电话本身并不能让你访问你的账户，”他说，“所以，如果你的SIM卡被替换，这并不意味着有人可以访问你的账户。这是各种因素的组合。

所有这些因素加在一起，将帮助你走上恢复账户的路途。”谷歌用户可以通过访问这个链接来注册APP。