文章指出，尽管到了2025年，Passkeys技术仍存在诸多问题，包括之前提到的缺陷和新发现的问题。作者建议用户应在了解其优缺点的基础上谨慎使用，同时推荐学习使用凭证管理器（密码管理器）来辅助管理。

标题：是的，Passkeys依然存在问题

核心观点
尽管Passkeys（通行密钥）技术已进入2025年，但其长期存在的缺陷仍未解决，甚至新增了一些问题。作者强调，用户需理性看待Passkeys，避免完全依赖平台提供商（如苹果、谷歌）的密钥管理服务，并应优先选择可控的第三方凭证管理器（如Bitwarden）。

关键问题总结
1. 厂商锁定（Vendor Lock-in）
- 尽管FIDO联盟推出了凭证交换规范（FIDO Credential Exchange），允许跨平台迁移密钥，但日常使用中仍需频繁手动同步，混合设备生态（如同时使用Windows和Mac）体验依旧割裂。
- 平台方通过界面设计（如默认优先推荐Apple Keychain）和操作摩擦，隐性引导用户绑定其生态。

2. 密钥存储风险

   • 云密钥链（如Apple Keychain、Google Passkeys）存在数据丢失案例，且无法备份。
   • 用户可能因平台账户被封禁（如某开发者被锁Apple ID）而永久失去所有关联Passkeys。

3. 用户教育与沟通混乱

   • 服务商常错误宣传Passkeys需“上传生物特征”（实际仅本地验证），导致用户误解和抵触。
   • 开发者仍倾向于强制用户使用平台绑定的Passkeys，限制其他选项（如硬件安全密钥）。

4. 高风险账户保护不足

   • 对核心账户（如邮箱），建议结合硬件安全密钥（如Yubikey）和强密码+TOTP备用方案，避免单点故障。

实用建议
- 用户层面：
- 使用可备份的第三方凭证管理器（如Vaultwarden）。
- 避免仅依赖平台密钥链，定期通过FIDO规范导出备份。
- 对邮箱等关键账户，优先配置硬件密钥。

• 开发者层面：
  • 避免预设authenticatorAttachment参数，尊重用户选择。
  • 明确告知Passkey注册意图，杜绝“静默启用”。

结论
Passkeys的进步被厂商利益和设计缺陷拖累，但通过主动管理密钥存储和备份，用户仍可平衡安全与便利。技术社区需停止“用户教育失败”的指责，转而优化工具和透明度。

（注：原文中的图片链接、部分技术术语及案例引用已简化，保留核心论证逻辑。）

关于Passkeys的评论总结

1. Passkeys过于复杂且用户体验差

• 主要观点：Passkeys设计过于复杂，对普通用户不友好，且存在使用流程繁琐的问题。
  • "So in other words, Passkeys are over engineered and simply too complicated for most users." (jqpabc123)
  • "The UX for them is so bad. I have no idea how many active pass keys I have." (voidfunc)

2. 供应商锁定（Vendor Lock-in）风险

• 主要观点：Passkeys可能导致用户被特定供应商锁定，尤其是在设备丢失或用户去世时，访问权限可能无法恢复。
  • "The 'Vendors Can Lock You Out' part is what makes passkeys entirely a non-starter for me." (secabeen)
  • "Vendor lock-in a serious concern...prevent the users from being able to export their own private keys." (shantara)

3. Passkeys的优势：便捷性和安全性

• 主要观点：Passkeys为普通用户提供了更简单、更安全的登录方式，避免了密码管理的复杂性。
  • "Passkeys are fantastic for the vast majority of the population...seamless login whether they’re on their computer, phone or tablet." (eddyg)
  • "Passkeys are a completely seamless experience on Apple platforms in my experience so far." (stalfosknight)

4. Passkeys的替代方案：TOTP和密码

• 主要观点：许多用户认为TOTP（时间一次性密码）和传统密码组合更简单、更灵活。
  • "TOTP for the win — it’s the simpler practical alternative." (jqpabc123)
  • "Password + TOTP have served me well so far...I really hope Passkeys don’t become mandatory." (arjie)

5. Passkeys的误解与教育不足

• 主要观点：用户对Passkeys的工作原理和备份机制存在误解，且缺乏足够的教育推广。
  • "The author still has one last misconception about passkeys, namely that if you lose a passkey, you have 'no recourse.'" (dfabulich)
  • "Passkeys need a marketing campaign and UX overhaul...The user was not educated on this." (polalavik)

6. 技术实现与多设备支持问题

• 主要观点：Passkeys在多设备间的同步和兼容性存在问题，尤其是跨平台使用时。
  • "The biggest problem I have with passkeys is being tied to a single device." (everfrustrated)
  • "On Apple devices I get neat experience out of the box, on Linux (+Firefox) I forced to use Bitwarden." (0x457)

7. 对Passkeys的极端反对

• 主要观点：部分用户对Passkeys持完全否定态度，认为其毫无价值。
  • "Passkey just suck, end of story." (voidfunc)
  • "starting to really hate these, regret ever using one." (bakies)

总结

Passkeys在便捷性和安全性上受到部分用户认可，尤其是对普通用户而言，但其复杂性、供应商锁定风险以及多设备支持问题引发了广泛争议。许多技术用户更倾向于使用TOTP和传统密码组合，认为其更灵活且易于管理。同时，Passkeys的推广和教育不足也导致用户对其功能和使用方式存在误解。