Passkey这玩意开始普及了感觉也没啥用啊
这玩意属于会用的早就用上1password等软件了,不会用的你给他解释10分钟他也不懂,还是灾难一样的密码管理方式(靠背同一个密码或者使用纸记下来)。以登录Github为例,过去是bitwarden填充账号密码,现在是bitwarden填充passkey。有段时间还存入不了bitwarden里,想把passkey存进iPhone里实现扫一扫登录,结果win电脑还和iPhone通信失败。当然国内就更没啥用了,几乎全是基于短信验证码的登录,有时候会显示一个基于第三方登录比如微信/qq/apple id。 本帖最后由 你不会没有吧 于 2024-7-13 17:37 编辑最佳使用场景还是safari,配合touchid或者面容,很舒适。但是chrome插件使用体验一坨,苹果压根没想好好做,本质还是构建生态墙而已
看成password了
2fa?
论坛助手,iPhone Nanachi 发表于 2024-7-13 16:43
2fa?
论坛助手,iPhone
这玩意的确默认和2FA同等地位,比如Github passkey登录就不用2FA了 很多人光考虑便捷性就会觉得有用吧,输入一个几位数的PIN和收短信验证码再输入比要方便很多。安全性方面因为省去了输入密码这一环节,能有效防止钓鱼网站。 passkey不是不用密码了,为啥还要记?我刷脸刷指纹登录不比输完密码还要输2fa来的方便 我的Windows上用iPhone扫码还挺顺畅的。 本帖最后由 liyropen 于 2024-7-14 03:37 编辑
passkey 标准用法不是绑定设备的吗,Windows 上创建完 passkey 用 Windows hello 就能验证了,确实能无密码啊,总不能说可以用密码进行验证就说它还是个得记密码的东西
—— 来自 S1Fun 答案是别存bitwarden,多利用设备的生物验证
—— 来自 Xiaomi 22041211AC, Android 14上的 S1Next-鹅版 v3.0.0.81-alpha 买了一对 Yubikey 了
—— 来自 鹅球 v3.0.86-alpha mac下就不需要掏什么手机,直接Touch ID就登陆了 有生物验证设备的话用起来不错,要是有实体密钥更好,bitwarden的唤起问题很多,我Google的passkey在Brave上都不能正常唤起
—— 来自 Xiaomi Redmi K20 Pro, Android 13上的 S1Next-鹅版 v2.5.2-play Andrue 发表于 2024-7-16 02:16
有生物验证设备的话用起来不错,要是有实体密钥更好,bitwarden的唤起问题很多,我Google的passkey在Brave ...
我这边 WebView 和 Edge 用不了实体密钥登录
—— 来自 鹅球 v3.0.86-alpha 更新,2024年10月已经挺方便的了,github登录直接选择bitwarden弹出窗口的passkey就行。虽然一般好像点bitwarden中保存的账号密码好像也一样自动登录 passkey的最佳用法还是一个设备存一个
像bitwarden、lastpass之类的把账号密码和2fa全存进去,鸡蛋放在一个篮子里,要是出个漏洞/电脑被装木马keylogger,可能直接一起爆炸了 去小米社区一看发现有bug不能用 satan023 发表于 2024-10-19 19:44
这玩意儿要买吗
—— 来自 OPPO PCCM00, Android 10上的 S1Next-鹅版 v3.0.0.81-alpha
有硬件版的如同U盾一样,插上即认证,绝大多数的还是选择存在某个APP里,像填充账号密码一样 都passkey了为啥不买两个硬件设备互为备份…… 可以用 YubiKey,玩法比较多,VeraCrypt、PGP、登陆系统都可以用 这种和传统密码本没啥区别的 hanyuwei70 发表于 2024-10-21 15:29
都passkey了为啥不买两个硬件设备互为备份……
硬件级passkey放在家里反而不安全吧,一个小偷进屋=数据全泄露。搜了下yubikey带指纹认证的是另一个版本Yubikey Bio。
倒是可以手机扫描电脑上的通用二维码,实现iPhone的passkey认证电脑。但是对于非自己电脑的不可信任环境,直接盗走cookie也挺危险的。自己的电脑倒是可以研究下passkey都存手机上,在pc上完全没有备份,民用级设备有什么比及时更新到最新iOS的iPhone更安全的呢(只针对常规黑客而言)?不过这种情况也防不住自己PC被装上恶意软件,照样盗走cookie 泰坦失足 发表于 2024-10-22 05:41
硬件级passkey放在家里反而不安全吧,一个小偷进屋=数据全泄露。搜了下yubikey带指纹认证的是另一个版本Y ...
先搞清楚安全模型,硬件passkey不是防止有人物理接触到你身边的,也不是在客户端环境不可信的情况下用的。都能偷你cookie了为什么不直接看你屏幕?
passkey防的是 1. 用假域名钓鱼 2. 漏密码之后撞库 3. 密码记忆困难导致的密码复用(因为你不需要记密码了)
本帖最后由 Pinchbeck 于 2024-10-22 12:43 编辑
hanyuwei70 发表于 2024-10-22 10:51
先搞清楚安全模型,硬件passkey不是防止有人物理接触到你身边的,也不是在客户端环境不可信的情况下用的 ...
硬件passkey其实还不如硬件2FA令牌,至少保险箱和保险箱钥匙没在一起,而且密码管理器+2FA就已经避开了你的三种情况
1.正常密码管理器都有域名匹配,当然用户可以选择手动填充,如果加上不允许手动填充的开关,其实等同于passkey的不匹配不提交
2.撞库并不能过2FA,随机密码到别的网站也用不上
3.应该没有人会记得密码管理器生成的密码
passkey主要就是防用户,对于123456用户来说确实是大提升,但是对已经很注重安全性的人来说可能是0或负提升,真不好说是绕过你的设备认证比较困难(pin/面容/指纹)还是绕过你的密码管理器主密码比较困难
https://p.sda1.dev/19/2cbc8986b6fcce2df6c95655471033ba/image.jpg
而且凭据丢失后你总要有一个绕过这些所有安全机制的恢复流程,它一般是写在纸上的RECOVERY CODE Pinchbeck 发表于 2024-10-22 12:39
硬件passkey其实还不如硬件2FA令牌,至少保险箱和保险箱钥匙没在一起,而且密码管理器+2FA就已经避开了你 ...
这玩意还真就是用来给123456用户用的,把以前的打开密码管理器+填密码简化成了插进去按一下/手机上确认,用户教育比密码管理器+2FA舒服太多了。 hanyuwei70 发表于 2024-10-22 15:20
这玩意还真就是用来给123456用户用的,把以前的打开密码管理器+填密码简化成了插进去按一下/手机上确认, ...
我打赌95%的用户都搞不懂passkey是啥,然后依然选择N个网站用同一个密码。 hanyuwei70 发表于 2024-10-22 15:20
这玩意还真就是用来给123456用户用的,把以前的打开密码管理器+填密码简化成了插进去按一下/手机上确认, ...
可折腾yubikey的大家真不像123456用户
国内无密其实已经通过手机号验证/登录解决了 Pinchbeck 发表于 2024-10-22 12:39
硬件passkey其实还不如硬件2FA令牌,至少保险箱和保险箱钥匙没在一起,而且密码管理器+2FA就已经避开了你 ...
题外话,记得之前见过类似的一系列 火柴人 四格漫画,只记得作者名字是4个字母,有汉化
最开始有一篇讲的三原色 什么的,最近想看但想不起细节了
不知道能否有坛友指导一下怎么找到
—— 来自 鹅球 v3.1.91-alpha MLP_102 发表于 2024-10-22 23:13
题外话,记得之前见过类似的一系列 火柴人 四格漫画,只记得作者名字是4个字母,有汉化
最开始有一篇讲的 ...
https://xkcd.com/
页:
[1]