2026 年,Passkey(通行密钥)已从"未来技术"变成日常现实。Apple、Google、Microsoft 的主流平台都已支持,越来越多网站和 App 让你用指纹或人脸识别登录,完全不需要密码。但 Passkey 究竟是什么?它真的比密码更安全吗?过渡期间又该怎么管理账号?本文一次说清楚。
一、为什么密码是个根本性问题?
传统密码存在三个根本性缺陷,即使你用最强的密码管理习惯也无法完全解决:
1. 服务器端存储风险
密码必须以某种形式存储在服务商的服务器(即使是加盐哈希后的版本)。一旦服务器被攻破,密码哈希就可能被离线暴力破解。每年都有大规模的数据泄露事件,几乎都包含用户的密码信息。
2. 钓鱼攻击无法防御
再复杂的密码,只要你输入在了假的网站上,就等于直接交给了攻击者。即使有双因素验证(2FA),即时钓鱼攻击也能在你输入 OTP 的瞬间同步传给攻击者,完成账号接管。
3. 人类行为问题
研究反复证实,人类在面对"强密码"要求时,往往采用可预测的模式。密码重复使用、弱密码,这些问题是系统性的,不是个人素质问题。
二、Passkey 的运作原理
Passkey 基于 FIDO2 / WebAuthn 标准,使用公钥密码学(Public-key Cryptography)来验证身份。整个流程可以拆解为两个阶段:
注册阶段
- 你的设备(手机或电脑)生成一对密钥:私钥(Private Key)和公钥(Public Key)
- 私钥永远存储在你的设备上,受到设备的安全芯片和生物识别保护,绝对不会传送到服务器
- 公钥传送并存储在服务商的服务器
- 这个公私钥对只对这个网站/App 有效,不同服务有不同的密钥对
登录阶段
- 服务商传送一个随机挑战码(Challenge)给你的设备
- 你通过生物识别(指纹/人脸)或 PIN 码授权,解锁设备上的私钥
- 私钥对挑战码进行数字签名,把签名发回服务器
- 服务器用之前存的公钥验证签名,确认是你本人操作,完成登录
三、Passkey 为什么天然免疫钓鱼攻击?
当你的设备在进行 Passkey 登录时,它会严格验证目前正在通信的网站域名,并和密钥对建立时绑定的域名完全匹配。如果你被钓鱼链接带到 paypa1.com,设备上为 paypal.com 建立的 Passkey 根本不会出现——因为域名不符,系统直接拒绝。
这和密码完全不同。密码只是一串字符串,你可以在任何网站输入任何密码,系统无法阻止你把正确密码输进假网站。Passkey 的防钓鱼是技术层面的强制约束,不依赖用户判断。
四、Passkey 与密码的核心比较
| 面向 | 传统密码 | Passkey |
|---|---|---|
| 存储位置 | 服务器(哈希后) | 用户设备(安全芯片) |
| 钓鱼防护 | 依赖用户辨识 | 技术层面强制防护 |
| 数据泄露影响 | 密码哈希可被破解 | 公钥泄露无用,私钥在设备 |
| 使用便利性 | 需记忆或使用密码管理器 | 生物识别或 PIN,无需记忆 |
| 跨设备使用 | 直接(密码可在任何地方输入) | 需要密钥同步或备用 Passkey |
五、过渡期如何安全管理账号
- 已支持 Passkey 的服务(Google、Apple ID、GitHub)立刻启用
- 对所有重要账号开启双因素验证(2FA),优先使用 TOTP App 而非 SMS
- 使用密码管理器为每个账号生成独立的强密码,彻底避免密码重复使用
六、Passkey 的已知限制
平台锁定
早期的 Passkey 实现被绑定在平台生态系(Apple 用 iCloud 同步、Google 用 Google 账户同步)。目前各大密码管理器(1Password、Bitwarden)已提供跨平台解决方案。
设备遗失或损毁
如果你的手机是唯一持有 Passkey 的设备,手机遗失代表你可能暂时无法登录。解决方案是同时设定多个设备的 Passkey,或确保账号有其他备用验证方式。
总结
- Passkey 使用公钥密码学,私钥永远不离开你的设备,服务器泄露也无法危害账号
- 技术层面强制防御钓鱼:域名不符时 Passkey 直接不出现
- 2026 年主流平台和大型服务已广泛支持,值得立刻尝试启用
- 过渡期仍需密码的账号,使用密码管理器+强密码+2FA 保护