Please, please, please stop using passkeys for encrypting user data
3 months ago
- #data security
- #encryption
- #passkeys
- 关于用户因通行密钥和PRF扩展使用而丢失重要数据的担忧。
- PRF扩展正被用于消息备份、端到端加密和加密钱包等多种应用的加密功能。
- 将认证凭证重载用于加密会增加数据丢失的风险。
- 示例场景:用户删除通行密钥,导致加密备份不可逆地丢失。
- 当前用户界面缺乏关于通行密钥在数据加密中关键作用的充分警告。
- PRF的合理用途包括凭证管理器和操作系统支持,这些都有健全的恢复选项。
- 行动呼吁:停止使用通行密钥加密用户数据;改进警告和用户教育。