随着各大技术公司宣布在未来几年内逐步取消密码 (Password),代之以更安全的登录方式 Passkey,传统的以密码为基础的账号安全体系也将面临革新。
Passkey 是一种基于公钥密码学的新型登录方式。
它不需要你设置和记忆复杂的密码,取而代之的是将你的设备或生物特征与网站或应用关联,让你的设备或生物特征成为打开账号的钥匙。
举例来说,你可以用手机或者 Windows Hello 脸部识别来登录网站或应用。登录时不需要输入密码,系统会自动识别已关联的设备或生物特征,验证通过后即可进入。
整个过程不会在设备与服务器之间传输或存储任何秘密,更安全也更便捷。
与基于密码的传统方式相比,Passkey 具有以下优势:
更安全:Passkey 基于非对称密钥加密,秘密不会在网络上传输或存储,防范数据泄漏和社会工程学风险。
更便捷:不需要设置和记忆复杂密码,登录可以完全依赖已关联的设备或生物特征。
无需密码管理器:用户不需要再依赖密码管理器生成和存储各种不同的密码。
多设备同步:Passkey 系统可以在多设备间无缝同步,一个 Passkey 可以在手机、电脑等设备上通用。
无需短信或邮件验证:基于公钥密码学,不需要通过短信或邮件重置密码。
更好的用户体验:无需频繁设置新密码,不会出现忘记密码的问题。
包括 Apple、Google、Microsoft 在内的多家科技巨头已经宣布了在未来几年内全面推进 Passkey 的部署计划:
Apple:iOS 16 和 MacOS Ventura 将支持 Passkey,可在 Apple 设备间无缝同步。
Google:Chrome 和 Android 已支持 WebAuthn Passkey 标准,会在更多 Google 服务中推广 Passkey。
Microsoft:Windows、Edge 和 Azure 已支持 WebAuthn,未来版本的 Windows 也将内置对 Passkey 的支持。
FIDO 联盟:许多公司参与了 FIDO 联盟,共同推进无密码认证标准。
尽管大厂纷纷宣布部署 Passkey,但从 Password 完全过渡到 Passkey 仍有诸多挑战:
需要设备厂商和网站站点的广泛支持,需要时间逐步推进。
用户需要适应以新的方式管理登录,并在不同设备间同步 Passkey。
需要解决手机丢失后如何恢复账号访问的问题。
虽更安全,但 Passkey 也需要防范钓鱼和其他新的攻击手段。
部分用户群体可能暂时无法采用只支持新设备的 Passkey 系统。
Passkey 代表了登录认证技术的重大进步,有望在未来几年内逐步取代传统的密码系统,带来更安全便捷的用户体验。但从 Password 完全迁移到 Passkey 还需要技术生态的共同努力和用户习惯的适应。