Passkey 无密码登录完整指南:为什么密码即将成为历史?

2026 年,Passkey(通行密钥)已从"未来技术"变成日常现实。Apple、Google、Microsoft 的主流平台都已支持,越来越多网站和 App 让你用指纹或人脸识别登录,完全不需要密码。但 Passkey 究竟是什么?它真的比密码更安全吗?过渡期间又该怎么管理账号?本文一次说清楚。

一、为什么密码是个根本性问题?

传统密码存在三个根本性缺陷,即使你用最强的密码管理习惯也无法完全解决:

1. 服务器端存储风险

密码必须以某种形式存储在服务商的服务器(即使是加盐哈希后的版本)。一旦服务器被攻破,密码哈希就可能被离线暴力破解。每年都有大规模的数据泄露事件,几乎都包含用户的密码信息。

2. 钓鱼攻击无法防御

再复杂的密码,只要你输入在了假的网站上,就等于直接交给了攻击者。即使有双因素验证(2FA),即时钓鱼攻击也能在你输入 OTP 的瞬间同步传给攻击者,完成账号接管。

3. 人类行为问题

研究反复证实,人类在面对"强密码"要求时,往往采用可预测的模式。密码重复使用、弱密码,这些问题是系统性的,不是个人素质问题。

二、Passkey 的运作原理

Passkey 基于 FIDO2 / WebAuthn 标准,使用公钥密码学(Public-key Cryptography)来验证身份。整个流程可以拆解为两个阶段:

注册阶段

  1. 你的设备(手机或电脑)生成一对密钥:私钥(Private Key)公钥(Public Key)
  2. 私钥永远存储在你的设备上,受到设备的安全芯片和生物识别保护,绝对不会传送到服务器
  3. 公钥传送并存储在服务商的服务器
  4. 这个公私钥对只对这个网站/App 有效,不同服务有不同的密钥对

登录阶段

  1. 服务商传送一个随机挑战码(Challenge)给你的设备
  2. 你通过生物识别(指纹/人脸)或 PIN 码授权,解锁设备上的私钥
  3. 私钥对挑战码进行数字签名,把签名发回服务器
  4. 服务器用之前存的公钥验证签名,确认是你本人操作,完成登录
理解底层加密:AES 加密工具可以帮助你体验现代加密技术的实际操作,了解密钥在加密系统中的作用。

三、Passkey 为什么天然免疫钓鱼攻击?

当你的设备在进行 Passkey 登录时,它会严格验证目前正在通信的网站域名,并和密钥对建立时绑定的域名完全匹配。如果你被钓鱼链接带到 paypa1.com,设备上为 paypal.com 建立的 Passkey 根本不会出现——因为域名不符,系统直接拒绝。

这和密码完全不同。密码只是一串字符串,你可以在任何网站输入任何密码,系统无法阻止你把正确密码输进假网站。Passkey 的防钓鱼是技术层面的强制约束,不依赖用户判断。

四、Passkey 与密码的核心比较

面向 传统密码 Passkey
存储位置服务器(哈希后)用户设备(安全芯片)
钓鱼防护依赖用户辨识技术层面强制防护
数据泄露影响密码哈希可被破解公钥泄露无用,私钥在设备
使用便利性需记忆或使用密码管理器生物识别或 PIN,无需记忆
跨设备使用直接(密码可在任何地方输入)需要密钥同步或备用 Passkey

五、过渡期如何安全管理账号

  • 已支持 Passkey 的服务(Google、Apple ID、GitHub)立刻启用
  • 对所有重要账号开启双因素验证(2FA),优先使用 TOTP App 而非 SMS
  • 使用密码管理器为每个账号生成独立的强密码,彻底避免密码重复使用
立即生成强密码:密码生成器可以在浏览器本地生成高熵值的随机密码,完全不需要上传到任何服务器,适合为每个账号建立独立强密码。

六、Passkey 的已知限制

平台锁定

早期的 Passkey 实现被绑定在平台生态系(Apple 用 iCloud 同步、Google 用 Google 账户同步)。目前各大密码管理器(1Password、Bitwarden)已提供跨平台解决方案。

设备遗失或损毁

如果你的手机是唯一持有 Passkey 的设备,手机遗失代表你可能暂时无法登录。解决方案是同时设定多个设备的 Passkey,或确保账号有其他备用验证方式。

总结

  • Passkey 使用公钥密码学,私钥永远不离开你的设备,服务器泄露也无法危害账号
  • 技术层面强制防御钓鱼:域名不符时 Passkey 直接不出现
  • 2026 年主流平台和大型服务已广泛支持,值得立刻尝试启用
  • 过渡期仍需密码的账号,使用密码管理器+强密码+2FA 保护