文｜三易生活

在互聯網中，密碼無疑占據著十分重要的位置，畢竟它的存在保障了我們在網絡上資產的安全。盡管密碼對于任何人的重要性都極高，但奈何總有人對它漫不經心，以至于“123456”幾乎年年都榮登年度最弱密碼的稱號。為此，谷歌等科技巨頭聯手搞了個“無密碼”生態，目前谷歌也正在積極鼓勵用戶為賬號設置Passkey（通行密鑰）功能，以實現“淘汰密碼”的目標。

然而曾經為谷歌提供咨詢服務的技術專家Lauren Weinstein，近日卻發文強烈批評他們推廣Passkey的行為，并表示Passkey本身確實沒有問題，但Passkey的中間認證環節卻有著不可忽視的安全隱患。據悉，Lauren Weinstein在相關文章中表示，如果在酒吧里有人偷窺你輸入的設備密碼、然后借機偷走你的手機，這樣解鎖手機后就可以使用所有保存的Passkey。

想要了解為什么會有人認為Passkey不安全，首先自然需要了解Passkey到底是如何工作的。

密碼作為一種安全防護手段，在信息技術逐步走向成熟的今天，如今已面臨著失去效用的風險。無論互聯網廠商如何苦心孤詣地勸導用戶使用更復雜的密碼，比如要求密碼需要包含大小寫英文字母、數字、字符，但密碼被攻破的現象依舊層出不窮。

在算力成倍增加的情況下，現在就連大型企業也同樣無法避免被黑客攻擊，而互聯網企業的數據庫被攻破，進而導致大規模信息泄露的案例在過去十年間可以說是屢見不鮮。有鑒于此，尋求一個代替密碼來完成對用戶身份鑒權的工具，也成為了科技巨頭們的一致期望。由于密碼是一個證明“我是我”的工具，而要證明“我是我”其實并非只能依賴密碼，指紋、虹膜等生物特質，以及U盾等實體設備就都可以實現。

谷歌的Passkey就是一個由一組密鑰組成的登錄驗證文件，用戶在注冊Passkey后，只需輸入自己的賬戶，然后使用手機或電腦的各種認證選項（如PIN碼、指紋、面部識別等）即可登錄，并且基于FIDO 2/WebAuthn標準的Passkey還支持跨平臺使用。讓而FIDO2則是由兩個開放標準構建，分別是FIDO客戶端身份驗證協議(CTAP)和W3C標準WebAuthn。

簡單來說，就是WebAuthn定義了一個標準的web API，并提供一個創建和管理公鑰憑證的接口，可以與身份驗證驗證器通信。

Passkey的工作機制，就是在用戶注冊時生成一個新的密鑰對，其中包含一個私鑰和一個公鑰。私鑰會存儲在設備上，并與在線服務的ID和域關聯，而公鑰則存儲在谷歌服務器的在線服務數據庫中，當用戶試圖訪問在線服務時，谷歌就會使用API與身份驗證者一起驗證用戶憑據。

問題就出在了這里，Passkey的本質是使用用戶手機的指紋、面容，或Windows Hello驗證、密碼管理器，來代替谷歌賬號的密碼。那么如果作為中間介質的手機和PC本身就不安全呢？其實這并非杞人憂天，畢竟手機感染惡意軟件、PC被木馬攻擊可以說是司空見慣的事情。

如果手機本身真的無懈可擊，谷歌又為什么會為Android系統推出月度安全補丁，甚至要求手機廠商必須經常為智能手機推送安全更新呢。

而Passkey的另外一個問題，就是一旦Passkey本身丟失，將會導致用戶被谷歌服務拒之門外。

根據谷歌方面的說法， Passkey在Windows、Android、iOS上是不能轉移、修改和讀取的，也就是說一旦生成，這個Passkey就會綁定在對應的設備上，如果重裝系統就需要重新生成并綁定Passkey。然而，并非所有的用戶在創建Passkey時都會設置備用方案，那么一旦重裝系統或丟失手機后沒有了Passkey，就會出現無法訪問賬戶的情況，并且谷歌也無法提供額外的賬戶恢復辦法。

有這樣的擔憂其實也很正常，畢竟確實有大量的用戶還在使用著“123456”或“password”來作為密碼。不過即便有一定的風險存在，Passkey的推廣也相當有意義。因為現在的情況是在谷歌數以億計的用戶中，使用弱密碼、并且在各種服務中使用同一套密碼的現象過于泛濫，而Passkey在淘汰密碼這件事上的重要性幾乎無可替代。

或許在谷歌看來，淘汰已經落后于時代的傳統密碼所帶來的收益，要遠比Passkey可能存在的安全風險和用戶使用體驗下降帶來的損失大得多。而且一旦Passkey迎來普及，用戶因為弱密碼而導致的個人隱私和財產損失就會大幅減少，所以完全沒有必要因噎廢食。