Vincent
Created: June 3, 2025
Updated: June 20, 2025
从设计上看,Passkey 比传统密码安全得多,并且由于其加密性质,更难被黑客攻击。然而,与任何技术一样,它们并非完全不受某些漏洞的影响。
Passkey 构建在 WebAuthn 标准之上,并利用公钥加密技术来验证用户身份,而无需依赖传统密码。这使得它们在本质上更能抵御常见的威胁,例如网络钓鱼、撞库攻击和暴力破解攻击。以下是 Passkey 被认为安全的原因:
公钥基础设施: Passkey 使用公私钥对,其中私钥永远不会离开用户的设备,这使得攻击者几乎不可能截获它。
消除密码: 由于 Passkey 不依赖于共享秘密(如密码),它们消除了凭据重用的风险,这是基于密码的系统中常见的漏洞。
防范网络钓鱼: 网络钓鱼攻击对 Passkey 无效,因为 Passkey 始终绑定到创建它的源(依赖方 ID)。
无撞库攻击: Passkey 对于每个服务都是唯一的,并且只有公钥存储在服务器端。这意味着,如果某个依赖方被攻破,它不会对其他依赖方产生任何影响。
无暴力破解攻击: Passkey 依赖于非对称加密,无法被猜测,因此对暴力破解攻击免疫。
无中间人攻击: 中间人攻击对 Passkey 不可行,因为用于身份验证的私钥永远不会离开用户的设备,确保不会传输任何可能被截获或更改的敏感信息。
无重放攻击: 重放攻击对 Passkey 不可能,因为每次身份验证会话都会生成一个唯一的、一次性的加密挑战,攻击者无法重用或复制它。
然而,虽然 Passkey 提供了卓越的安全性,但它们并非完全不受黑客攻击的影响:
供应链攻击: 制造商层面的受损设备可能会被篡改,从而泄露加密密钥。
社会工程: 虽然网络钓鱼效果较差,但攻击者仍可能使用社会工程技术诱骗用户为恶意网站创建 Passkey。
会话窃取: Passkey 使身份验证部分对用户来说既安全又简单。然而,取决于依赖方的实现方式,会话仍可能被窃取并用于恶意目的。
Enjoyed this read?
🤝 Join our Passkeys Community
Share passkeys implementation tips and get support to free the world from passwords.
🚀 Subscribe to Substack
Get the latest news, strategies, and insights about passkeys sent straight to your inbox.