Yep, Passkeys Still Have Problems
5 months ago
- #Passkeys
- #Cybersecurity
- #VendorLockin
- 2025年通行密钥仍存在缺陷,但通过正确理解和管理可有效使用
- 推荐使用凭证管理器(如Bitwarden/Vaultwarden)存储通行密钥,支持备份与自主管控
- 避免依赖单一平台凭证管理器(苹果/谷歌),存在备份失效和账户锁定风险
- 高价值账户(如邮箱)应使用Yubikey硬件密钥存储通行密钥,并保留强密码+TOTP作为备用
- FIDO凭证交换规范支持跨提供商迁移通行密钥,但未解决日常跨平台使用难题
- 因操作界面障碍和用户教育缺失,厂商锁定现象持续存在
- 平台级通行密钥服务商(苹果/谷歌)常误导用户生物识别数据用途,引发信任危机
- 部分服务强制绑定平台通行密钥,限制用户选择自由
- 备份策略至关重要:选择支持导出功能的凭证管理器或Yubikey等硬件密钥
- 开发者应避免预设Webauthn选项过滤,优先保障用户知情权与通行密钥注册选择权