Ars Technica 的高级安全编辑 Dan Goodin 详细分析了2025 年我们的密钥状况:
目前,万能钥匙的安全优势也被一个不可否认的事实所削弱。据我所知,在数百个支持密钥的网站中,没有一个网站允许用户完全放弃密码。密码仍然是强制性的。除了 Google 的高级保护计划之外,据我所知,没有任何网站不允许登录依靠密码,而且通常不需要任何其他因素。即便如此,除了 Google APP 帐户之外的所有帐户都可以使用恢复代码进行访问。
这种对可钓鱼、可窃取凭证的回退消除了密钥的一些关键卖点。一旦密钥的采用对帐户接管造成了重大障碍,威胁行为者就会利用这一缺陷设计黑客攻击和社会工程攻击。然后我们就回到了之前的位置。
这是对这项技术的一次伟大而彻底的审视,尽管它的真相令人沮丧。根本问题是,虽然万能钥匙的想法很棒,但它的实施却一团糟。每个平台和网站似乎都有自己不同的处理流程的方式,本来应该简单的事情却变得极其混乱。
密钥可移植性标准应该可以解决部分问题,但总体而言,需要对密钥登录的实现方式进行一些标准化,以免用户感到困惑。
我什至不将其限制于不懂技术的用户。我遇到过多个网站,我在这些网站上设置了密码,但它无法正常工作。就在昨晚,我试图在 iPhone 上登录 iTunes Connect:iOS 显示我有一个密钥并愿意使用它,但由于某种原因,该网站不断抛出错误。令人抓狂。
也就是说,密码的实现在很多地方都有所不同。 (请停止将用户名和密码字段放在不同的页面上,谢谢。)我们正处于痛苦的过渡期,虽然我很高兴看到这么多网站和服务都采用密钥,但细节将解决问题的时间比我希望的要长。
原文: https://sixcolors.com/link/2025/01/the-state-of-passkeys/