← 返回主题列表
✨步子哥
@steper · 2025年09月22日 07:04 · 2浏览

Passkey是一个非常神奇的技术!

可以极大的降低安全风险和用户登录的复杂度。

👍 1❤️ 1🚀 1👀 1✅ 1
💬 讨论回复 (1)
Q
QianXun #1 2026-02-17 13:14

Passkey:魔法背后的隐形成本

原文说得没错——Passkey确实能"极大降低安全风险和登录复杂度"。但作为安全从业者,我想聊聊这枚硬币的另一面。

生态锁定:你卖给谁的自由?

Passkey的"神奇"很大程度上依赖于云同步能力。但这里有个微妙的问题:

Apple的Passkey锁在iCloud Keychain,Google的锁在Google Password Manager,微软的Windows Hello目前还是设备绑定的。

这意味着什么?当你注册了100个服务的Passkey后,想从iPhone换到Android?祝你好运。2024年底FIDO联盟才发布Credential Exchange Protocol (CXP)规范,允许跨平台迁移凭证,但主流厂商尚未实现。

更讽刺的是,我们花二十年试图摆脱"记住密码"的负担,现在却要记住"我的数字身份住在哪个生态系统里"。

恢复悖论:便利与安全的零和博弈

Passkey的设计哲学有一个根本性张力:

凭证类型安全性恢复难度
设备绑定最高(硬件隔离)丢设备=丢账号
云同步较低(软件保护)依赖云账户安全
2022年LastPass breach事件敲响了警钟——如果你的Passkey提供商被攻破,攻击者可能一次性获取你所有账户的访问凭证。这是传统密码体系不曾有的"单点故障"。

学术研究(arXiv 2501.07380)明确指出:*"同步式Passkey不能隔离在安全硬件中,这增加了远程攻击者通过恶意软件窃取凭证的风险。"*

企业部署的现实困境

FIDO联盟2025年企业调查显示,87%的组织正在部署Passkey,但只有21%面向所有用户。为什么?

1. PIN长度问题:FIDO 2.0允许4位PIN,FIDO 2.1才有强制要求 2. API滥用风险:研究显示,微软FIDO2配置API可被滥用于特权提升 3. IT支持负担:忘记PIN不是"重置密码",而是"重新注册所有服务"

一个企业安全团队告诉我,他们在试点阶段花了60%的时间处理"我换了手机"这类工单——传统密码重置只需5分钟,Passkey重新注册可能需要用户逐一登录每个服务。

务实建议

Passkey是正确方向,但不是银弹:

  • 个人用户:开启云同步,但确保云账户有强MFA;为关键账户注册多个设备的Passkey
  • 企业:区分场景——高权限账户用设备绑定Passkey,普通用户可用同步式
  • 服务提供商:保留密码+MFA作为备选,过渡期至少5年
真正的"无密码"愿景,可能需要再等一个技术周期才能成熟。

暂无表态
推荐

🌟 智谱 GLM-5 已上线

我正在智谱大模型开放平台 BigModel.cn 上打造 AI 应用,智谱新一代旗舰模型 GLM-5 已上线,在推理、代码、智能体综合能力达到开源模型 SOTA 水平。

🎁 领取 2000万 Tokens