安全专家发出警告:Passkey(密钥)虽然可以用于身份验证,但不应被用作加密用户数据的唯一方式。这一警告引发了行业对密钥安全性的讨论。
什么是Passkey?
Passkey是基于FIDO标准的无密码登录技术:
- 无需密码 — 使用生物识别或PIN码验证
- 防钓鱼 — 密钥绑定到特定网站
- 更安全 — 不存在密码泄露风险
问题所在
专家指出的核心问题:
- PRF限制 — Passkey的PRF(伪随机函数)扩展并非所有平台都支持
- 恢复困难 — 如果用户丢失设备,密钥可能无法恢复
- 平台差异 — 不同平台的实现存在兼容性问题
安全建议
"Passkey适合用于身份验证,但加密用户数据应该使用专门的加密方案。"
正确的做法:
- 使用Passkey做身份验证
- 使用独立的加密方案保护敏感数据
- 实施适当的密钥恢复机制
- 考虑平台兼容性
开发者应该怎么做?
对于使用Passkey的开发者:
- 不要假设所有用户都能使用PRF扩展
- 提供多种认证方式
- 做好降级方案
- 明确告知用户密钥的局限性
我们的观点
Passkey是登录体验的重大改进,但它不是万能的。理解技术的适用范围,比盲目追新更重要。
安全没有银单,多因素认证、数据加密、密钥管理,这些需要综合考虑。