惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

WordPress大学
WordPress大学
Spread Privacy
Spread Privacy
T
The Exploit Database - CXSecurity.com
Simon Willison's Weblog
Simon Willison's Weblog
P
Privacy & Cybersecurity Law Blog
L
LINUX DO - 热门话题
T
Threat Research - Cisco Blogs
T
Tenable Blog
TaoSecurity Blog
TaoSecurity Blog
Security Archives - TechRepublic
Security Archives - TechRepublic
AI
AI
P
Proofpoint News Feed
A
About on SuperTechFans
P
Privacy International News Feed
月光博客
月光博客
雷峰网
雷峰网
S
Secure Thoughts
博客园 - 叶小钗
博客园 - 聂微东
cs.CL updates on arXiv.org
cs.CL updates on arXiv.org
Project Zero
Project Zero
The Cloudflare Blog
SecWiki News
SecWiki News
The Hacker News
The Hacker News
V
Vulnerabilities – Threatpost
罗磊的独立博客
A
Arctic Wolf
阮一峰的网络日志
阮一峰的网络日志
Know Your Adversary
Know Your Adversary
酷 壳 – CoolShell
酷 壳 – CoolShell
OSCHINA 社区最新新闻
OSCHINA 社区最新新闻
T
Troy Hunt's Blog
The Last Watchdog
The Last Watchdog
Schneier on Security
Schneier on Security
小众软件
小众软件
有赞技术团队
有赞技术团队
博客园 - 司徒正美
T
Tailwind CSS Blog
量子位
C
Cybersecurity and Infrastructure Security Agency CISA
让小产品的独立变现更简单 - ezindie.com
让小产品的独立变现更简单 - ezindie.com
Hugging Face - Blog
Hugging Face - Blog
人人都是产品经理
人人都是产品经理
奇客Solidot–传递最新科技情报
奇客Solidot–传递最新科技情报
S
Security @ Cisco Blogs
大猫的无限游戏
大猫的无限游戏
S
SegmentFault 最新的问题
Apple Machine Learning Research
Apple Machine Learning Research
宝玉的分享
宝玉的分享
L
Lohrmann on Cybersecurity

少数派

派早报:Google 发布 Fitbit Air 等 - 少数派 「新人报到」確認需求,再開始 - 少数派 从 SOLO 独立开发者社区,我看到了越来越多开发者开始做自己的产品 - 少数派 我怎么管理那些"不常做,但总会忘"的生活事项 - 少数派 人形机器人量产元年,数据才是具身智能的“生死线” - 少数派 BuhoLaunchpad 高度还原 Mac 启动台:开发历程与思考 - 少数派 五年陪伴依然不舍,DIY 换壳后让罗技 MX Master 3 继续服役 - 少数派 新玩意 240|少数派的编辑们最近买了啥? - 少数派 一日一技|为什么你应该关闭 iOS 的键盘声音 - 少数派 我做了个插件和 Skills,一键提取任何网站的设计规范 Design.md - 少数派 住在三四线城市的你,该开始录播客了 - 少数派 甘南秘境,大白高国 - 少数派 AI的审美:谁让把我变成川内倫子 - 少数派 返工怎能不烦恼,打工人片单总有一部是你的「嘴替」 - 少数派 为了让「上厕所」更健康,我做了一个小工具 - 少数派 AI + Skill,能够让生成的文章去除 AI 味吗? - 少数派 新玩意|韶音OpenDots ONE 耳夹式耳机 - 少数派 《美满》| 在每一个春天的晚上相爱(362) - 少数派 新玩意|优篮子 PS01 MagSnap 磁吸支架 - 少数派 自我整合手记 | 我开始早睡了:用稳定规则,为自由托底 - 少数派 用龙虾(OpenClaw)两个多月,我最深的12个体会 - 少数派 听歌时间到,12 张你可能错过的 2025 华语乐坛好专辑 - 少数派 承诺能追吗 - 少数派 macOS 26启动台没了? 我做了个不一样的App启动器 - Keboard - 少数派 《四海为家的人》| INTJ对话INTJ(361) - 少数派 你发过的那些黑历史,是时候一次清干净了 - 少数派 新玩意:安安静静玩,越玩越专注:计客密码机 - 少数派 iPad 用户首次体验 Android 平板:vivo Pad6 Pro - 少数派 数据逻辑强 - 少数派 极北行+ | 一路向北,探访日本至北之地 | 001 - 少数派 万字剖析:千问App深度体验报告(2026) - 少数派 在2026年,如何真正防止别人抄袭你的作品 - 少数派 怎么用 50 块搭个 AI 语音助手?我踩了 3 天坑 - 少数派 YeeroAI:让 AI 对话真正成为知识管理的一部分 - 少数派 爬泰山 - 少数派 「旅图显影」 App 更新:这次,我们补上了一点「手感」 - 少数派 假期出门太折磨?我的 23 条经验帮你规划惬意旅行 - 少数派 工作流会变吗 - 少数派 Claude Opus 4.6 怎么用最省钱?我测了 5 种方案 - 少数派 GPT Image 2 让图文并茂不再稀罕 - 少数派 用户侧出发——什么是AI,我要不要学习? - 少数派 找片、转存、整理、播放一条龙!让你的付费网盘值回票价 - 少数派 欢迎试用!日课一问2.0插件 - 少数派 自己做的MDeditor,原本想购买 Typora 试了两次支付不成功,干脆自己做一个 - 少数派 vibe coding了一个 3MB 的小工具,让 ~/Downloads 彻底告别混乱 - 少数派 因为受不了 Mac 的风扇策略,我做了一个风扇控制工具 - 少数派 别只怪模型 - 少数派 Warp 终端的 AI 功能怎么用?我测了一周的体验 - 少数派 AI 写代码老是出 bug?这 5 个配置我后悔没早知道 - 少数派 「新玩意」苹果出相机可能就这样:Sigma BF + 45mm F2.8 DG Contemporary - 少数派 一个面向2030年的AI操作系统是什么样子的:浅谈cola这款有灵魂的Agent - 少数派 别只看写代码 - 少数派 每天解决10个问题,还是一口气攻坚解决400个? - 少数派 AI 交易机器人怎么搭?我用 Claude 跑了一周实盘 - 少数派 Maptoposter Online:把你爱的城市画成艺术海报 - 少数派 Function Calling 怎么用?我测了 3 个模型发现差距真大 - 少数派 Legend Talk:我做了个 AI 圆桌,让 160 位思想家围着你的问题转 - 少数派 如何找到自己的蓝方?在小县城寻找压力测试 - 少数派 语音输入与软件接口|2026年聊AI时,我们都聊些什么(上) - 少数派 混动已经卖爆,纯电又来补刀——钛7闪充版简直“不讲武德” - 少数派 本月玩什么|朋友收藏、识质存在、沙罗周期 - 少数派 为什么要每天坚持输出? - 少数派 Claude API 挂了好几个小时,你的项目有备用方案吗? - 少数派 Function Calling 没你想的复杂——我用它做了个有点用的工具 - 少数派 登录系统立即播放视频或者图片音乐的软件 - 少数派 我为什么创建 FlipHTML5 下载工具 - 少数派 残局没电?多品牌外设电量统一管理软件EasyBluetooth已支持RTSS游戏内显示以及AIDA64 - 少数派 前往通义路的路 - 少数派 太好看了,媲美Sun的个人导航页,NAS部署星云门户 - 少数派 乌黑嘴唇“一键检测”上线了 - 少数派 派早报:Claude AI 接入多个创意软件生态、FILCO 生产方接手品牌等 - 少数派 【更新】BearCLI、Claude 连接器与 MCP 服务器 - 少数派 记了上千条流水,还是看不懂财务?我做了一个让 AI 读懂账本的工作台 - 少数派 MINI R56 升级原厂 Sport 模式 - 少数派 新玩意 | 一棵柠檬树(仿真版) - 少数派 Momenta的“物理AI”野望,需迈过“含摩量”这道关 - 少数派 网页直接投屏控制手机!NAS一键部署PandaScrcpy,流畅丝滑可远程。 - 少数派 众测|邀你一同探索随身 AI 硬件入口 YoooClaw C·ONE - 少数派 2050大会:分享时间是真诚 参会记 - 少数派 iPad 赋能电影创作:国内首部宣纸手绘长片《燃比娃》的幕后故事 - 少数派 AI的审美:我用 8 个大模型给 100 张旅行照片打分 - 少数派 普通人如何破圈?去参加一个本地协会 - 少数派 把极空间的图标全换了,主题DIY全攻略打造你的专属NAS桌面 - 少数派 电子便签墙,帮你实现便签自由 - 少数派 我如何用三个 CLI 工具取代文档创建需求 - 少数派 原来真的有人可以玩一辈子 - 少数派 社区速递 139 | 派友热议三月买了啥、复古单反尼康 Df 体验 - 少数派 06 作品的赏析与评价 - 少数派 TDS REVIEW|索尼 WF-1000XM6 降噪真无线耳机体验 - 少数派 35.98万起售的第二代腾势D9,我看重的不是堆料,而是不凑合 - 少数派 鼠须管 Squirrel 皮肤配置指北 - 少数派 从watch ultra2换到redmi watch6 - 少数派 派早报:阿里巴巴发布视频生成模型 HappyHorse 1.0 等 - 少数派 别迷信1M - 少数派 家人们天塌了!网盘“大封杀”,多个渠道多条路,NAS部署PanHub - 少数派 AI与人勾心斗角!NAS一键部署AI狼人杀,假日休闲必备。 - 少数派 电商必备!Comfyui工作流批量生图插件,一次生成12张!支持Nano banana pro模型 - 少数派 Comfyui工作流配置Gpt-image-2模型教程,0.03/张 - 少数派 OpenClaw第三方APi怎么配置?可使用Gpt-image-2模型 - 少数派 会员社区话题精选 Ep. 103 - 少数派
不用密码但不能代替密码:通行密钥如何让登录这件事更简单? - 少数派
2022-06-22 · via 少数派

记忆密码总是一件痛苦的事情,对于绝大多数不使用密码管理器的人来说「一个密码走天下」是密码问题上最容易的解决方案了。但一个密码到处用总会带来各式各样的安全问题,比如:这个密码因为其他问题导致了外泄,那么所有的账户都会受到威胁。

密码这件事一定会让不少人头疼,图源:1Password

为了解决这个情况,日常登录网站和应用程序要你两步验证,比如 SMS 短信验证码、邮箱验证码或是基于时间的一次性密钥等方式加强安全性。从我们日常使用来看,等验证码这个步骤反而可能是整个登陆流程里最麻烦的一件事。

两步认证

关联阅读:微软想让你不再动手输密码了,这个省事的方案有多安全?

Apple 在 WWDC 2022 中向开发者介绍了「通行密钥(Passkeys) 」这项新的「希望可以替代密码」的新技术,并期望通过这项新技术来解决上面的问题。

看到这里,你可能会担心这项 Apple 的新技术可能别的互联网公司并不会参与。但事实上通行密钥是通用技术标准 WebAuthn 下的一个关键技术,不仅可以简化登录的流程,还可以提高安全性和增加跨设备授权登录的功能。只不过 Apple 在今年 WWDC 上高调地宣布了而已,微软、Google 等大公司也已经宣布将支持这项 FIDO Standard 技术标准。

那通行密钥是如何替代密码进行身份验证的,通行密钥能完全取代你的密码吗?本篇文章就来带领大家一探究竟。

通行密钥是如何工作的?

目前完整支持通行密钥的应用程序还不多,但我们可以从 WWDC 后续面向开发者的视频中窥探到通行密钥的使用方式。登录界面中只需要用户提供用户名(User name)这一信息,然后点击登录按钮,最后完成生物认证便能完成登录。使用通行密钥整个过程,就和我们目前使用 iCloud 钥匙串或是支持自动填充的密码管理器一样自然、直观。

使用通行密钥登录账户

在传统登录环节中由短信验证码、两步验证器所扮演的身份验证功能,也将由通行密钥代劳;尽管通行密钥和登录密码的功能存在差异,但在整个注册和登录的过程中无需我们主动创建、记忆或输入密码。这种一键登录、几乎不会增加学习和使用成本的身份验证机制,显然也要比我们现阶段主要使用的大部分身份验证方式更加无感。

使用自动密码填充登录账户

用非对称加密证明「你是你」

不过通行密钥并不是什么新鲜的玩意,它其实是密码学中「非对称加密」在登录认证中的一种应用。

单个通行密钥由一对密钥组成,分别是公钥(Public key)私钥(Private key)

我们可以把公钥类比于带「防盗」锁的传统信箱,把私钥类比于信箱的锁的钥匙。邮递员投递的信件就是我们要加密的信息,通过投递到信箱中加密起来,然后也只有信箱的主人才有钥匙能够打开信箱读取信件的内容。如果一个人手上没有钥匙,那就需要用暴力开防盗锁,整个过程不仅耗时耗力,最后也往往没办法打开那把防盗锁。

与之对应的,如果某些内容被公钥加密了,则该内容能且仅能被私钥解密,非对称加密的可靠性正来源于此——若无私钥,在有限的算力和有限的时间内我们一般无法完成极大整数的因数分解;如果加密内容能被解密,则说明对方拥有私钥。

非对称加密的这种唯一对应性,显然是非常适合用于登录认证的。

实现通行密钥最基本的原理

以 WWDC 中的例子进一步展开说明,在用户完成第一次登录以后,服务端和用户终端分别持有由用户终端生成的公钥和私钥。如果这时用户再需要登录,用户将用户名发送给服务器以后,服务器用用户名对应的公钥创建一个「口令(challenge)」发送给用户终端,放到上面的例子里就是邮件投递到了用户的传统信箱里;用户这时可以使用私钥解答该「口令」并将对应的「答案(solution)」再发送给服务端,放到上面的例子里就是用户取出了这份邮件并根据这份邮件给发信人返回了一个正确的信件。如此,服务端便能通过比对答案是否正确从而验证终端是否为公钥的主人了。当然,上述的通讯过程都是通过 HTTPS 加密的。

所以这也是为什么通行密钥可以替代各种形式的验证码进行身份验证

关联阅读:聊聊浏览器里的那把锁:HTTPS 如何让你安全冲浪?

服务端如何获得用户的公钥?

细心的同学可能会疑惑,上述过程中的假设是如何成立的?换句话说,服务端最初是如何获得公钥并与我们手里的私钥产生对应关系的?

目前,从 WWDC 的视频和 Google 开发者文档中的信息来看,我们需要先行通过传统的密码方式注册一个账号,然后再绑定通行密钥到该账号中。

使用密码初次登陆

在完成用密码的登录过程后,账户设置里面会有选项添加通行密钥,且通行密钥完全由用户终端生成、需要经过终端的生物认证,然后公钥上传到服务端,私钥保存在钥匙串里。这样就完成了用户名和通行密钥信息的绑定。

这里打个不完全正确的比喻,和前面所说的一样公钥是传统邮箱的话,我们要向邮政公司提前登记「这个邮箱属于你」,提前登记的过程就是使用传统密码注册账户的过程。

通行密钥还有什么优点?

作为一种用于用户身份认证的替代方案,通行密钥最直接的应用场景显然就是跨设备登录了。

微信桌面版

上图就是很贴近生活的一个例子,在这类场景中,我们以往一般需要通过短信验证码或两步认证来确认登录者身份,国内比较常见的例子就是:微信登录电脑端时,需要通过已登录的手机进行扫码来完成身份验证。

通过手机扫码验证

而在通行密钥的应用场景中,当用户打算在一个陌生电脑上临时登录自己的账号的时候,也是可以通过手机扫码来安全地授权完成认证登录的。

同样是扫码行为,通行密钥不同的地方在于它可以脱离对具体服务端、客户端的依赖,变成一种纯粹的身份认证工具。因为它本质上是 FIDO 对通行密钥的扩展——客户端到认证器协议规范(Client to Authenticator Protocol,CTAP),也就是外部认证器通过中继网络(Relay Network)向用户的互联网接入设备局部传递认证证书——我们需要做的,就是通过设备上的生物信息验证机制将通行密钥认证结果传递给其他设备。

建立安全通道

通行密钥的扫码操作的背后,一般则会将手机作为认证器与电脑通过 USB、NFC 或蓝牙等方式进行通讯。具体而言,电脑端会根据 FIDO 的协议生成一个随机字符串并编码为二维码展示,然后手机扫码该二维码获取该随机字符串(key input)并作为对称加密密钥,并建立一个近距离通讯的网络发布,电脑端使用相同的字符串连接上该网络。如此,手机和电脑便能安全地互相通讯。

电脑需要验证时,可以先将口令安全地传递到手机上,再在手机上用私钥解答出有关的答案,最后再将答案安全地传回电脑端,并由电脑端和服务器进行通讯完成上述的认证登录过程。

除了跨设备登录,通行密钥也将为传统的登录验证流程带来额外的安全性保障。

一方面,任何基于物理设备生成的身份验证手段,在设备被盗或丢失后,都将面临密码泄露的风险,但通行密钥要求每次访问私钥的时候都经过设备的生物认证,安全性相对更好。且一个账号可以绑定多个设备的通行密钥,设备丢失后还可以在服务端删除对应的通行密钥以进一步加强安全性。

另一方面,钓鱼网站攻击主要依靠伪装目标网站的方式来骗取用户主动输入账号密码。通行密钥方案的原理则决定了钓鱼网站首先需要拥有用户的公钥——我们在上面已经提到,公钥从生成开始便储存在目标网站的服务器上,除非这些钓鱼网站直接攻破这些网站的服务器,否则无从获取公钥,但如果真的可以攻破服务器为什么又要采用钓鱼手段呢;另外,在通行密钥的认证流程中,我们也从来不需要向任何人发送自己的私钥,仅通过二维码等近场通信手段交换答案,这两点可以在很大程度上阻止当前钓鱼网站的攻击。

通行密钥有什么潜在不足?

通过上面的介绍,我们也不难看出通行密钥的不足——它并不能像某些网络报道中所宣称的那样,完全取代你的密码。

在通行密钥的设计中,服务器需要用户先行使用密码创建一个账号,然后才能将用户的公钥绑定到该账号上,当设备损坏或丢失时,密码依然是通行密钥的容灾策略。这一点可以在 Xbox 帮助文档中「忘记密钥」的部分得到体现。

密钥的优势

同时,通行密钥私钥的同步和迁移也存在成本,毕竟我们总有更换设备的那天。而在 FIDO 和 W3C 的标准中,都没有描述当用户打算更换平台的时候如何迁移通行密钥的私钥,比如如何从 Apple 设备换到 Android 设备。当我们保存在手机的密钥数量不断增多,需要在新手机上重新绑定新的公钥也会花费大量的时间。如果操作系统服务商不开放相关权限给第三方服务,那迁移成本肯定不小。

最后则是密码遗忘问题。由于通行密钥本身极大的便利性,人们会很容易使用并依赖它。但别忘记,通行密钥无法完全替代密码本身。年轻人或许能学会使用密码管理器,但是长辈们可能会由于长期没有间歇性使用密码便完全忘记了当初设定的密码,通行密钥的普及将会放大这一现象。

通行密钥很好地解决了记密码的难题,从 Apple 实现的方式上而言也很优雅;虽然目前仍有一些机制上的不足,但随着这项技术的完善还是可以解决的,毕竟谁又能不喜欢一个「无密码」的世界呢。最后,关于通行密钥这项技术你还有什么想法的也欢迎在评论区进行讨论。

关联阅读:关于通行密钥的安全性

> 下载 少数派 2.0 客户端、关注 少数派公众号,阅读更多 WWDC22 专题报道 👨🏻‍💻

> 实用、好用的 正版软件,少数派为你呈现 🚀