Passkey这玩意开始普及了感觉也没啥用啊

泰坦失足

这玩意属于会用的早就用上1password等软件了，不会用的你给他解释10分钟他也不懂，还是灾难一样的密码管理方式（靠背同一个密码或者使用纸记下来）。以登录Github为例，过去是bitwarden填充账号密码，现在是bitwarden填充passkey。有段时间还存入不了bitwarden里，想把passkey存进iPhone里实现扫一扫登录，结果win电脑还和iPhone通信失败。当然国内就更没啥用了，几乎全是基于短信验证码的登录，有时候会显示一个基于第三方登录比如微信/qq/apple id。

你不会没有吧

最佳使用场景还是safari，配合touchid或者面容，很舒适。但是chrome插件使用体验一坨，苹果压根没想好好做，本质还是构建生态墙而已
看成password了

Nanachi

2fa？

论坛助手,iPhone

泰坦失足

Nanachi 发表于 2024-7-13 16:43
2fa？

论坛助手,iPhone

这玩意的确默认和2FA同等地位，比如Github passkey登录就不用2FA了

xz_04

很多人光考虑便捷性就会觉得有用吧，输入一个几位数的PIN和收短信验证码再输入比要方便很多。安全性方面因为省去了输入密码这一环节，能有效防止钓鱼网站。

noahhhh

passkey不是不用密码了，为啥还要记？我刷脸刷指纹登录不比输完密码还要输2fa来的方便

bubuyu

我的Windows上用iPhone扫码还挺顺畅的。

liyropen

passkey 标准用法不是绑定设备的吗，Windows 上创建完 passkey 用 Windows hello 就能验证了，确实能无密码啊，总不能说可以用密码进行验证就说它还是个得记密码的东西

—— 来自 S1Fun

麻仓月轩

答案是别存bitwarden，多利用设备的生物验证

—— 来自 Xiaomi 22041211AC, Android 14上的 S1Next-鹅版 v3.0.0.81-alpha

JetBrains

买了一对 Yubikey 了

—— 来自 鹅球 v3.0.86-alpha

Soyo

mac下就不需要掏什么手机，直接Touch ID就登陆了

Andrue

有生物验证设备的话用起来不错，要是有实体密钥更好，bitwarden的唤起问题很多，我Google的passkey在Brave上都不能正常唤起

—— 来自 Xiaomi Redmi K20 Pro, Android 13上的 S1Next-鹅版 v2.5.2-play

JetBrains

Andrue 发表于 2024-7-16 02:16
有生物验证设备的话用起来不错，要是有实体密钥更好，bitwarden的唤起问题很多，我Google的passkey在Brave ...

我这边 WebView 和 Edge 用不了实体密钥登录

—— 来自 鹅球 v3.0.86-alpha

泰坦失足

更新，2024年10月已经挺方便的了，github登录直接选择bitwarden弹出窗口的passkey就行。虽然一般好像点bitwarden中保存的账号密码好像也一样自动登录

screeper

passkey的最佳用法还是一个设备存一个
像bitwarden、lastpass之类的把账号密码和2fa全存进去，鸡蛋放在一个篮子里，要是出个漏洞/电脑被装木马keylogger，可能直接一起爆炸了

御坂MKII

去小米社区一看发现有bug不能用

泰坦失足

satan023 发表于 2024-10-19 19:44
这玩意儿要买吗

—— 来自 OPPO PCCM00, Android 10上的 S1Next-鹅版 v3.0.0.81-alpha

有硬件版的如同U盾一样，插上即认证，绝大多数的还是选择存在某个APP里，像填充账号密码一样

hanyuwei70

都passkey了为啥不买两个硬件设备互为备份……

小野賢章

可以用 YubiKey，玩法比较多，VeraCrypt、PGP、登陆系统都可以用

eva02eva02

这种和传统密码本没啥区别的

泰坦失足

hanyuwei70 发表于 2024-10-21 15:29
都passkey了为啥不买两个硬件设备互为备份……

硬件级passkey放在家里反而不安全吧，一个小偷进屋=数据全泄露。搜了下yubikey带指纹认证的是另一个版本Yubikey Bio。
倒是可以手机扫描电脑上的通用二维码，实现iPhone的passkey认证电脑。但是对于非自己电脑的不可信任环境，直接盗走cookie也挺危险的。自己的电脑倒是可以研究下passkey都存手机上，在pc上完全没有备份，民用级设备有什么比及时更新到最新iOS的iPhone更安全的呢（只针对常规黑客而言）？不过这种情况也防不住自己PC被装上恶意软件，照样盗走cookie

hanyuwei70

泰坦失足 发表于 2024-10-22 05:41
硬件级passkey放在家里反而不安全吧，一个小偷进屋=数据全泄露。搜了下yubikey带指纹认证的是另一个版本Y ...

先搞清楚安全模型，硬件passkey不是防止有人物理接触到你身边的，也不是在客户端环境不可信的情况下用的。都能偷你cookie了为什么不直接看你屏幕？
passkey防的是 1. 用假域名钓鱼 2. 漏密码之后撞库 3. 密码记忆困难导致的密码复用（因为你不需要记密码了）

Pinchbeck

hanyuwei70 发表于 2024-10-22 10:51
先搞清楚安全模型，硬件passkey不是防止有人物理接触到你身边的，也不是在客户端环境不可信的情况下用的 ...

硬件passkey其实还不如硬件2FA令牌，至少保险箱和保险箱钥匙没在一起，而且密码管理器+2FA就已经避开了你的三种情况

1.正常密码管理器都有域名匹配，当然用户可以选择手动填充，如果加上不允许手动填充的开关，其实等同于passkey的不匹配不提交

2.撞库并不能过2FA，随机密码到别的网站也用不上

3.应该没有人会记得密码管理器生成的密码

passkey主要就是防用户，对于123456用户来说确实是大提升，但是对已经很注重安全性的人来说可能是0或负提升，真不好说是绕过你的设备认证比较困难(pin/面容/指纹)还是绕过你的密码管理器主密码比较困难

而且凭据丢失后你总要有一个绕过这些所有安全机制的恢复流程，它一般是写在纸上的RECOVERY CODE

hanyuwei70

Pinchbeck 发表于 2024-10-22 12:39
硬件passkey其实还不如硬件2FA令牌，至少保险箱和保险箱钥匙没在一起，而且密码管理器+2FA就已经避开了你 ...

这玩意还真就是用来给123456用户用的，把以前的打开密码管理器+填密码简化成了插进去按一下/手机上确认，用户教育比密码管理器+2FA舒服太多了。

泰坦失足

hanyuwei70 发表于 2024-10-22 15:20
这玩意还真就是用来给123456用户用的，把以前的打开密码管理器+填密码简化成了插进去按一下/手机上确认， ...

我打赌95%的用户都搞不懂passkey是啥，然后依然选择N个网站用同一个密码。

Pinchbeck

hanyuwei70 发表于 2024-10-22 15:20
这玩意还真就是用来给123456用户用的，把以前的打开密码管理器+填密码简化成了插进去按一下/手机上确认， ...

可折腾yubikey的大家真不像123456用户

国内无密其实已经通过手机号验证/登录解决了

MLP_102

Pinchbeck 发表于 2024-10-22 12:39
硬件passkey其实还不如硬件2FA令牌，至少保险箱和保险箱钥匙没在一起，而且密码管理器+2FA就已经避开了你 ...

题外话，记得之前见过类似的一系列 火柴人 四格漫画，只记得作者名字是4个字母，有汉化
最开始有一篇讲的三原色 什么的，最近想看但想不起细节了
不知道能否有坛友指导一下怎么找到

—— 来自 鹅球 v3.1.91-alpha

東京急行

MLP_102 发表于 2024-10-22 23:13
题外话，记得之前见过类似的一系列 火柴人 四格漫画，只记得作者名字是4个字母，有汉化
最开始有一篇讲的 ...

https://xkcd.com/