Passkey 会被黑客攻击吗？

Passkey 会被黑客攻击吗？#

从设计上看，Passkey 比传统密码安全得多，并且由于其加密性质，更难被黑客攻击。然而，与任何技术一样，它们并非完全不受某些漏洞的影响。

---

理解 Passkey 的安全性#

Passkey 构建在 WebAuthn 标准之上，并利用公钥加密技术来验证用户身份，而无需依赖传统密码。这使得它们在本质上更能抵御常见的威胁，例如网络钓鱼、撞库攻击和暴力破解攻击。以下是 Passkey 被认为安全的原因：

• 公钥基础设施： Passkey 使用公私钥对，其中私钥永远不会离开用户的设备，这使得攻击者几乎不可能截获它。

• 消除密码： 由于 Passkey 不依赖于共享秘密（如密码），它们消除了凭据重用的风险，这是基于密码的系统中常见的漏洞。

• 防范网络钓鱼： 网络钓鱼攻击对 Passkey 无效，因为 Passkey 始终绑定到创建它的源（依赖方 ID）。

• 无撞库攻击： Passkey 对于每个服务都是唯一的，并且只有公钥存储在服务器端。这意味着，如果某个依赖方被攻破，它不会对其他依赖方产生任何影响。

• 无暴力破解攻击： Passkey 依赖于非对称加密，无法被猜测，因此对暴力破解攻击免疫。

• 无中间人攻击： 中间人攻击对 Passkey 不可行，因为用于身份验证的私钥永远不会离开用户的设备，确保不会传输任何可能被截获或更改的敏感信息。

• 无重放攻击： 重放攻击对 Passkey 不可能，因为每次身份验证会话都会生成一个唯一的、一次性的加密挑战，攻击者无法重用或复制它。

然而，虽然 Passkey 提供了卓越的安全性，但它们并非完全不受黑客攻击的影响：

• 供应链攻击： 制造商层面的受损设备可能会被篡改，从而泄露加密密钥。

• 社会工程： 虽然网络钓鱼效果较差，但攻击者仍可能使用社会工程技术诱骗用户为恶意网站创建 Passkey。

• 会话窃取： Passkey 使身份验证部分对用户来说既安全又简单。然而，取决于依赖方的实现方式，会话仍可能被窃取并用于恶意目的。

---

关于 Corbado

Corbado 是面向大规模运行 consumer 身份验证的 CIAM 团队的Passkey Intelligence Platform。我们让你看到 IDP 日志和通用 analytics 工具看不到的内容：哪些设备、操作系统版本、浏览器和 credential manager 支持 passkey，为什么注册没有转化为登录，WebAuthn 流程在哪里失败，以及什么时候操作系统或浏览器更新会悄悄破坏登录 — 而且无需替换 Okta、Auth0、Ping、Cognito 或你自有的 IDP。两款产品：Corbado Observe 提供 针对 passkey 及任何其他登录方式的 observability。Corbado Connect 提供 内置 analytics 的 managed passkey（与你的 IDP 并存）。VicRoads 通过 Corbado 为 500 万以上用户运行 passkey（passkey 激活率 +80%）。 与 Passkey 专家交谈 →