文章讨论了现代认证技术从用户名和密码向passkeys转变的趋势，认为这对普通用户有显著好处，但也指出了一些潜在问题，特别是认证系统中的认证机制。该机制允许认证设备向网站提供更多信息，可能导致大公司、雇主或政府限制用户使用开源或软件认证工具，例如奥地利政府要求使用特定硬件令牌进行税务和医疗记录访问。

标题：Passkeys与现代认证

发布日期：2025年9月2日

近年来，行业趋势逐渐从传统的用户名和密码认证转向使用Passkeys。这一转变的初衷是好的，预计将为普通用户带来显著的净收益。然而，背后的标准存在一些特殊之处，这些特性可能被大公司、雇主和政府利用，值得深思。

认证问题

其中一个潜在问题是认证系统。它允许认证器向网站提供更多关于其自身的信息，例如告诉网站你使用的是Yubikey还是1Password等软件认证器。例如，奥地利政府通过这一机制，禁止用户使用开源或其他基于软件的认证器来登录税务、医疗记录等受eID保护的系统，而是要求用户购买白名单中的硬件令牌。

目前，软件认证器或任何同步工具并未使用认证数据。苹果和谷歌在其消费者Passkeys的软件认证器（如Keychain和Google Authenticator）中并未暴露认证数据，但它们会传递来自硬件令牌的认证数据。此外，据我所知，它们还通过移动设备管理为企业暴露认证数据。

虽然有人认为认证数据不太可能被大规模用于创建供应商锁定，但我并不完全相信这不会导致子生态系统的形成，尤其是在政府登录系统中已经出现了对密钥的限制。

认证锁定

另一个更为令人担忧的问题是，目前无法在认证密码管理器之间导出私钥。用户需要将每个生态系统单独注册到密码管理器中。开源密码管理器曾尝试向用户揭示私钥，但被认为不安全且不应支持。这种剥夺用户自主权的做法并非偶然。Passkey导出规范虽然原则上允许导出，但鼓励系统之间的传输，而不是将用户凭证交给用户。

尽管这可能是出于好意，但也带来了问题。例如，尝试逐步退出苹果生态系统的用户会发现，许多服务现在绑定到基于iCloud的Passkey。特别是使用非共享电子邮件地址的“使用Apple登录”功能，使得迁移到Android变得非常困难，除非用户保留iCloud订阅。

隐性注册

Passkeys之所以被广泛采用，部分原因在于许多用户是在不知不觉中自动注册的。例如，亚马逊在每次登录后都会尝试自动将用户注册为Passkey，而用户只需触摸指纹提示即可完成注册。如果用户使用不同类型的设备进行认证，例如Windows和iOS设备，最终可能会将两种认证器关联起来。这使得未来迁移到完全不同的生态系统变得更加困难。

企业主导

多年来，每天都有用户失去对谷歌账户的访问权限，且无法恢复。谷歌以无理由终止账户而闻名，随之而来的是用户数据的丢失。在这种情况下，用户还会失去对第三方网站的访问凭证。对此没有法律救济或上诉机制，用户只能希望自己不会触怒谷歌的账户标记系统。

复杂性与守门人

随着越来越多的服务从用户名和密码认证转向OAuth登录，甚至Passkeys，构建操作系统或客户端变得越来越复杂。例如，访问个人IMAP账户的权限在安全理由下被大幅限制，获取OAuth凭证也变得越来越困难和昂贵。

总结

作为Passkeys的用户，我对过度依赖科技巨头和复杂解决方案持谨慎态度。我注意到对自身数据的依赖增加，潜在的数据访问风险也让我感到担忧。尽管管理用户名和密码曾经令人烦恼，但如今每天花费在认证上的时间却更多了。我们可能需要反思，这是否真的是我们想要的未来。

评论总结：

1. 关于私钥导出的安全性问题：

   • 观点：私钥导出应以加密形式进行，明文导出不安全。
   • 论据：明文导出会导致安全问题，用户通常无法选择安全的密码或短语，加密导出是基本的安全措施。
   • 引用：
     • "If the export was encrypted with a passphrase in a standard format, then there would be no issue."（如果导出时使用标准格式的短语加密，就不会有问题。）
     • "But requiring exports to be encrypted is the least one can do to maintain a degree of security while still allowing exports."（要求导出加密是保持一定程度安全性的最低要求。）

2. 关于Passkey的导出与使用：

   • 观点：Passkey的导出功能是必要的，但目前缺乏跨管理器的导出支持。
   • 论据：导出功能有助于用户在不同设备上使用Passkey，但目前只能通过注册多个Passkey来实现。
   • 引用：
     • "Exporting passkeys is the single required feature for me to start using them more."（导出Passkey是我开始更多使用它们的唯一必要功能。）
     • "You can always register multiple passkeys with providers though."（你总是可以在提供商那里注册多个Passkey。）

3. 关于Passkey的复杂性与用户体验：

   • 观点：Passkey和2FA的复杂性增加了用户的使用负担，尤其是家庭用户。
   • 论据：管理多个账户和设备的Passkey和2FA流程繁琐，用户体验不佳。
   • 引用：
     • "Signing into my accounts on my children’s devices has turned from a straightforward process to an incredibly frustrating experience."（在我孩子的设备上登录我的账户从一个简单的过程变成了极其令人沮丧的体验。）
     • "2FA and passkeys are so annoying to juggle."（2FA和Passkey的管理非常烦人。）

4. 关于生态系统依赖与隐私问题：

   • 观点：Passkey的生态系统依赖和隐私问题令人担忧。
   • 论据：Passkey可能被用于强制用户实名认证，侵犯隐私，且生态系统之间的壁垒限制了用户的选择。
   • 引用：
     • "Passkeys are a great idea, but the walled gardens are a huge problem."（Passkey是个好主意，但围墙花园是个大问题。）
     • "Just now, at least in Europe, there is a huge push to force users to authenticate themselves with their actual identity."（现在，至少在欧洲，有一股巨大的推动力要求用户用真实身份进行认证。）

5. 关于安全性与政治问题的关联：

   • 观点：身份验证和隐私保护不仅是技术问题，更是政治问题。
   • 论据：政府和大型企业对个人隐私的威胁比黑客更大，身份验证系统的设计应考虑政治因素。
   • 引用：
     • "Authentication and protecting user identity on the web without sacrificing anonymity is a political problem not a technical problem."（在不牺牲匿名性的情况下进行身份验证和保护用户身份是一个政治问题，而不是技术问题。）
     • "The govt or govt controlled corps (i.e. fascism) is a much bigger threat to individuals and freedom than so called 'hackers' or 'terrorists'."（政府或政府控制的企业（即法西斯主义）对个人和自由的威胁比所谓的“黑客”或“恐怖分子”更大。）

6. 关于Passkey管理器的兼容性问题：

   • 观点：Passkey管理器的兼容性问题比密码更严重。
   • 论据：某些Passkey管理器无法在所有网站上使用，导致用户体验不佳。
   • 引用：
     • "Keepassxc works with some sites but not with others. It’s super annoying and way worse than situation with passwords."（Keepassxc在某些网站上可用，但在其他网站上不行。这非常烦人，比密码的情况更糟。）

总结：

评论中主要讨论了Passkey的导出功能、安全性、用户体验、生态系统依赖、隐私问题以及身份验证的政治性。尽管Passkey被认为是一种更安全的身份验证方式，但其复杂性、兼容性问题和潜在的隐私风险引发了广泛讨论。用户希望Passkey能够更易于管理和跨平台使用，同时也对政府和企业的隐私侵犯表示担忧。