Hacker News 中文摘要

RSS订阅

通行密钥:实为依赖密码管理器的密码 -- Passkeys are just passwords that require a password manager

原文链接 | HN讨论 | 2025-08-05 11:57:05

文章摘要

Passkeys本质上仍然是密码,但它们依赖于密码管理器来生成和存储,虽然提高了安全性,但也增加了对密码管理器的依赖。

文章总结

文章标题:Passkeys 只是需要密码管理器管理的密码

主要内容

Passkeys 是一种随机生成的密码,必须通过密码管理器进行管理。所有主流的密码管理器,如 Apple、Google、Microsoft、Mozilla 和 1Password,都支持 Passkeys。Passkeys 可以是公钥/私钥对,也可以是简单的秘密密码。由于 WebAuthn Passkeys 是由委员会设计的,因此实现方式多样。

密码管理器不允许用户复制和粘贴 Passkeys,用户必须通过密码管理器来使用 Passkeys。这种方式提供了一定的反钓鱼保护,因为 Passkeys 包含元数据(如生成它的网站/应用),密码管理器不会将 Passkeys 提供给错误的网站/应用。因此,没有人可以通过社会工程手段诱使用户将 Passkeys 复制粘贴到恶意网站。

Passkeys 的重置方式与普通密码相同。有些网站允许通过简单的“忘记密码”邮件来重置密码,同样也可以通过“丢失 Passkey”邮件来重置 Passkeys。然而,像 Google 和银行这样的服务通常采用更复杂的重置流程,涉及备份邮箱、恢复码、短信验证等多种因素。

Passkeys 的一个缺点是,由于无法复制和粘贴,用户在不同密码管理器之间切换时会遇到困难。尽管 Apple 和 Google 已经同意在未来使用“凭证交换协议”来支持 Passkeys 的跨平台转移,但截至 2025 年,这一功能尚未实现。因此,密码管理器建议网站/应用允许每个用户拥有多个 Passkeys,以确保用户可以使用不同的密码管理器登录。

总的来说,如果你对当前的密码管理器满意,没有特别需要切换到 Passkeys。然而,即使是经验丰富的用户也可能成为钓鱼攻击的受害者,因此 Passkeys 提供了一种更安全的替代方案。

评论总结

评论主要围绕Passkeys的使用、安全性、管理方式及其与密码管理器的关系展开,观点多样且存在争议。以下是总结:

1. Passkeys的依赖性与管理问题

  • 观点:Passkeys依赖于密码管理器,且无法直接查看或复制,导致使用不便。
  • 论据
    • "To present a passkey, you have to use a password manager." (JohnFen)
    • "The fact that you can't actually see the passkey is absurd." (lazzlazzlazz)

2. Passkeys的安全性

  • 观点:Passkeys通过公钥加密和域绑定提供防钓鱼保护,但部分用户对其安全性持怀疑态度。
  • 论据
    • "Passkeys are locked to a domain, enforced by the browser. This completely breaks phishing." (conradev)
    • "Passkeys are the easiest way to lose access to your account." (altmind)

3. Passkeys与密码管理器的关系

  • 观点:Passkeys并非传统密码,而是公钥/私钥对,管理方式与密码不同。
  • 论据
    • "Passkeys are keypairs, and unlike shared secrets (like passwords) they do not require private key material to be ever revealed to the remote system." (drdaeman)
    • "They aren't passwords, they are just glorified private / public keys." (shmerl)

4. Passkeys的锁定与迁移问题

  • 观点:Passkeys可能导致用户被锁定在特定平台,且缺乏标准化的迁移协议。
  • 论据
    • "The lock-in issue is more complex." (conradev)
    • "And of course the FIDO2 standard didn’t specify (yet) a way to move passkeys around." (ecesena)

5. Passkeys的适用性与用户友好性

  • 观点:Passkeys设计初衷是保护用户免受自身不安全行为的影响,但对技术用户可能不具吸引力。
  • 论据
    • "The design of passkeys is pretty solidly based around the idea that users are the weakest link." (ericpauley)
    • "If you already use a good password [...] you’re not getting much benefit." (ericpauley)

6. Passkeys的硬件绑定与存储

  • 观点:部分用户认为Passkeys应硬件绑定,否则其安全性与传统密码无异。
  • 论据
    • "My understanding of Passkeys used to be that they were hardware-bound." (cedws)
    • "Except you can store the passwords on a usb key / remote over bluetooth." (Darkskiez)

7. Passkeys的未来与标准化

  • 观点:Passkeys的标准化和迁移协议正在发展中,未来可能解决当前问题。
  • 论据
    • "There is an exchange protocol in the works for data migration." (conradev)
    • "But this will be fixed in a few iterations." (ecesena)

总结:

Passkeys作为一种基于公钥加密的认证方式,提供了防钓鱼保护,但其依赖密码管理器、缺乏透明性和迁移协议等问题引发了广泛讨论。部分用户对其安全性和便利性持怀疑态度,而技术用户则更关注其锁定效应和硬件绑定问题。未来,随着标准化的发展,Passkeys可能逐步解决当前争议。