Password keys should be both secure and simple; here's how they fail.

我一直争论密码对于过去十年来说是糟糕的选择，并且是一个热情的早期采用者，采用了更好的方法——passkeys。

密码密钥本应实现一种圣杯般的解决方案，即比密码更安全，同时又如此容易使用，以至于人人都会采用。但一篇新的文章指出，该技术存在四个问题……

密码更安全

密码存在多个安全问题：

• 网站可能知道他们，即使它们被声称是加密的。
• 非技术人员往往重复使用密码，因此数据泄露问题非常严重。
• 密码容易受到钓鱼攻击。

通过使用Passkeys，所有这些问题都迎刃而解。在登录时，我们不再被要求提供用户名和密码，而是被邀请使用一个passkey。在这个系统中，网站或应用程序会请求我们的设备进行身份验证，可以使用Face ID或Touch ID。设备会告诉网站我们是谁，并确认我们的身份。

Web服务器信任你的设备以验证你的方式与支付终端信任你的iPhone或Apple Watch进行Apple Pay交易相同——因为它知道你已经使用生物识别方式本地进行了验证。

理论上，密码密钥要简单得多。

当我们创建一个账户时，我们应该被提供使用密码密钥的选项，并且我们只需要同意。我们的设备会验证我们，服务会为我们创建账户。下次登录时，我们只需使用面部识别或触控ID即可。

“但有四大问题”

如果你只使用Apple设备，并在所有设备上都使用Safari作为你的网络浏览器，那么通过密钥（passkeys）的使用会变得非常简单。iCloud同步意味着在一个Apple设备上创建的账户可以在你所有的其他设备上访问。

“但正如 Ars Technica 所指出的，有很多情况现实与承诺相差甚远，这从不一致的用户体验开始。”

在Windows上使用密码密钥登录PayPal的经历将与在iOS或Android的Edge浏览器上登录该网站有所不同。而且，不要尝试在Firefox上使用密码密钥登录PayPal，因为支付网站不支持任何操作系统上的该浏览器。

更糟糕的是，密码密钥与特定浏览器绑定。

另一个例子是我在Firefox上为我的LinkedIn账户创建一个密码。因为我使用了各种浏览器在不同的平台上，所以我选择使用我的1Password密码管理器来同步这个密码。理论上，我做出的选择允许我在任何可以访问我的1Password账户的地方自动使用这个密码，而这是不可能的。但是，并不是那么简单。当我查看LinkedIn设置中的密码时，它显示是在Mac OS X 10上为Firefox创建的，尽管它在我的所有浏览器和操作系统上都能正常工作。

第三个问题是，像谷歌和苹果这样的公司可能会迫使你使用他们自己的密码管理系统，即使你有不同的偏好，而且有时当你已经设置了一个密码时也是如此。

我想通过与1Password同步的passkey来打开LinkedIn。不知为何，负责这条消息的神秘实体（这次是谷歌）试图通过这种方式说服我使用其平台。

此外，还可以考虑在WebAuthn.io网站上的体验，该网站展示了标准在不同场景下的工作方式。当用户希望在macOS上注册一个物理安全密钥进行登录时，他们会收到一个对话框，建议他们使用密码密钥并将其通过iCloud同步。

最后，值得一提的是，虽然密码的全部目的是为了摆脱由密码创建的安全漏洞，但几乎每一个服务都要求你创建一个密码登录。

在成百上千支持密码密钥的网站中，我还没有听说有一个允许用户完全放弃密码的。密码仍然是必需的……威胁分子会设计利用这一弱点的黑客攻击和社会工程攻击。然后我们又回到了原来的地方。

整篇文章都值得阅读。

“图片来自TheRegisti在Unsplash上的照片”