通行密钥 vs 传统密码 — 2026年你需要了解的一切
了解通行密钥(Passkey)的工作原理、与传统密码的对比、是否应该开始使用。涵盖FIDO2、WebAuthn、优缺点及当前普及状况。
通行密钥 vs 传统密码 — 2026年你需要了解的一切
密码几十年来一直是保护在线账户的标准方式。但它们有众所周知的问题:人们重复使用、忘记、还会被钓鱼攻击骗取。通行密钥(Passkey)就是行业给出的答案——一种旨在完全取代密码的新型身份验证方式。
本文介绍通行密钥是什么、工作原理、相比密码的优劣势,以及目前的普及情况。
什么是通行密钥?
通行密钥是一种加密凭证,用来替代用户名和密码。你不再输入密码,而是使用设备内置的安全功能(指纹、面部识别或设备PIN)来验证身份。
通行密钥基于FIDO2标准,包含浏览器使用的WebAuthn API和硬件安全密钥使用的CTAP。
工作原理(简化版)
- 注册:创建通行密钥时,设备生成唯一的公钥-私钥对。公钥发送给网站,私钥留在设备上永不外泄。
- 登录:网站发送挑战,设备在你完成身份验证后用私钥签名,网站用公钥验证签名。
- 没有共享秘密:与密码不同,没有敏感信息被传输或存储在服务器上。根本没有密码可以被窃取、钓鱼或泄露。
通行密钥 vs 密码:直接对比
| 因素 | 密码 | 通行密钥 |
|---|---|---|
| 防钓鱼能力 | 低——可在假网站输入 | 高——绑定合法域名 |
| 防暴力破解 | 取决于密码强度 | 免疫——没有密码可猜 |
| 数据泄露风险 | 高——哈希密码可被破解 | 无——服务器仅存储公钥 |
| 用户操作 | 需创建、记忆、输入 | 按指纹或看摄像头 |
| 重复使用风险 | 非常普遍 | 不可能——每个通行密钥独一无二 |
| 2FA需求 | 通常需要额外层 | 内置——设备持有+生物识别 |
通行密钥的优势
1. 钓鱼几乎被消除
通行密钥与网站域名进行加密绑定。即使攻击者创建假登录页面,通行密钥也不会工作。
2. 无需记忆
没有密码要忘记,没有复杂度要求,没有定期更换策略。
3. 没有密码可泄露
服务器只存储公钥,数据泄露不会暴露有用信息。
4. 内置双重认证
通行密钥本质上结合了两种认证因素:你拥有的(设备)和你是谁(生物识别)或你知道的(设备PIN)。
通行密钥的局限
1. 设备依赖性
如果你失去对所有设备的访问且未配置恢复方法,账户恢复可能困难。云同步正在改善这一点。
2. 尚未普遍支持
主要平台已支持,但许多网站和服务尚未实现。密码在大多数账户中仍然必要。
3. 跨平台体验不一致
在iPhone上创建的通行密钥登录Windows PC需要蓝牙和二维码扫描。
4. 共享账户更困难
共享通行密钥保护的账户比共享密码更复杂。
当前普及状况(2026年)
| 平台/服务 | 通行密钥支持 |
|---|---|
| 完全支持 | |
| Apple | 完全支持(iCloud钥匙串同步) |
| Microsoft | 完全支持(Windows Hello) |
| Amazon / GitHub / PayPal | 支持 |
| 1Password / Bitwarden | 存储和同步通行密钥 |
| 大多数银行应用 | 有限支持 |
| 大多数中小网站 | 尚未支持 |
需要共享凭证怎么办?
通行密钥解决了安全问题,但带来了新挑战:共享。通行密钥无法像密码那样复制粘贴。
需要共享团队账户、临时凭证等情况下,基于密码的共享仍是实际方案。共享密码时,不要在微信等聊天应用中直接粘贴。可以在LOCK.PUB上创建带有效期的加密备忘录,到期后凭证自动消失。
通行密钥代表了在线身份验证领域自密码发明以来最重大的变革。在支持的地方使用通行密钥,其他地方保持良好的密码习惯,这是最务实的做法。