Passkey:密码终结者
密码从诞生之日起就有一个本质缺陷——它是一个"你知道的东西",而"知道"这件事是可以被窃取的。钓鱼网站可以骗走你的密码,数据泄露可以暴露你的密码,恶意软件可以记录你的密码。整个网络安全行业花了几十年时间试图修补密码的各种漏洞,但问题的根源始终存在。
Passkey(通行密钥)是密码的终结者。它基于FIDO2标准,使用公钥密码学替代传统密码。你不需要记住任何东西,不需要输入任何东西——只要你的设备在手,一次生物识别就能完成登录。而且,Passkey从原理上就无法被钓鱼。
币安已经支持Passkey登录,今天我来带你全面了解这项技术并完成设置。
Passkey的工作原理
传统密码的流程
- 你创建一个密码(如"MyPassword123")
- 密码的哈希值存储在币安的服务器上
- 登录时,你输入密码,服务器验证哈希值是否匹配
- 风险:密码在传输过程中可能被截获,存储的哈希值可能在数据泄露中被暴露
Passkey的流程
- 你的设备生成一对密钥:公钥和私钥
- 公钥发送给币安保存,私钥存储在你的设备安全芯片中
- 登录时,币安发送一个"挑战"(Challenge)
- 你的设备用私钥对挑战签名,发回给币安
- 币安用公钥验证签名
- 关键:私钥永远不会离开你的设备,也永远不会通过网络传输
为什么Passkey无法被钓鱼?
Passkey绑定了创建时的域名(如binance.com)。当你在钓鱼网站(如b1nance.com)上尝试登录时,你的设备会检测到域名不匹配,拒绝生成签名。这是在协议层面内置的防钓鱼保护,不依赖用户的判断力。
设备兼容性
iOS设备
- 要求:iOS 16及以上
- 存储:Passkey存储在iCloud钥匙串中
- 跨设备同步:通过iCloud自动同步到你的所有Apple设备
- 验证方式:Face ID或Touch ID
Android设备
- 要求:Android 9及以上(推荐Android 14+获得最佳体验)
- 存储:通过Google密码管理器存储
- 跨设备同步:通过Google账户同步
- 验证方式:指纹、面部识别或屏幕锁定
跨平台使用
Passkey支持跨设备登录。例如,你可以用手机上的Passkey扫码登录电脑上的币安网页版,无需在电脑上额外设置。
在币安APP上设置Passkey
设置步骤
- 打开币安APP并确保已登录
- 点击左上角头像 → 「安全」
- 找到「Passkey」或「通行密钥」选项
- 点击「创建Passkey」
- 系统会要求进行安全验证(密码 + 谷歌验证器/短信验证码)
- 验证通过后,系统会调用设备的Passkey创建流程:
- iOS:弹出Face ID/Touch ID确认窗口
- Android:弹出指纹/面部识别确认窗口
- 确认生物识别后,Passkey创建完成
- 系统会显示Passkey的名称和创建时间
创建成功后
- Passkey会自动保存在你设备的安全存储中
- iOS用户可以在「设置 → 密码」中查看
- Android用户可以在Google密码管理器中查看
- Passkey会自动同步到你同账号的其他设备
使用Passkey登录
在同一设备上登录
- 打开币安APP的登录页面
- 选择「使用Passkey登录」(或类似选项)
- 系统弹出生物识别验证
- 完成Face ID/指纹识别
- 登录成功
整个过程不需要输入任何密码或验证码,通常在2秒内完成。
在电脑上使用手机的Passkey登录
- 打开币安网页版的登录页面
- 选择「使用Passkey登录」
- 页面显示一个二维码
- 用手机扫描二维码(iOS用相机APP,Android用系统扫码)
- 手机弹出生物识别验证
- 完成验证后,网页自动登录
Passkey vs 传统验证方式对比
| 对比维度 | Passkey | 密码+谷歌验证器 | 密码+短信 | YubiKey |
|---|---|---|---|---|
| 便捷性 | 极高 | 中等 | 中等 | 需携带设备 |
| 防钓鱼 | 内置防护 | 无 | 无 | 内置防护 |
| 远程攻击 | 免疫 | 较难 | 可被SIM劫持 | 免疫 |
| 设备依赖 | 需要兼容设备 | 需要手机 | 需要手机号 | 需要密钥 |
| 成本 | 免费 | 免费 | 免费 | 50-70美元 |
| 跨设备同步 | 支持 | 需手动迁移 | 跟随SIM卡 | 不支持 |
| 备份 | 云端自动备份 | 需手动备份 | 依赖运营商 | 需备份设备 |
Passkey的安全性深度分析
优势
- 防钓鱼:域名绑定机制从根本上杜绝钓鱼攻击
- 防重放攻击:每次认证的签名都是唯一的
- 防数据泄露影响:服务器只存储公钥,公钥泄露不影响安全
- 无密码传输:认证过程中没有密码通过网络传输
- 用户体验好:生物识别一步完成,无需记忆
潜在风险
- 设备安全依赖:如果你的设备(手机)被入侵,Passkey可能被滥用
- 云账户风险:Passkey通过iCloud/Google同步,如果云账户被入侵,Passkey可能暴露
- 设备丢失:如果所有设备都丢失且无法访问云账户,可能失去Passkey
缓解措施
- 保持设备系统和APP的更新
- 为iCloud/Google账户开启强安全验证
- 保留至少一种传统验证方式(如谷歌验证器)作为备份
- 考虑同时使用YubiKey作为额外的Passkey存储
Passkey的多设备管理
添加多个Passkey
你可以为同一个币安账户创建多个Passkey:
- iPhone的Passkey(通过iCloud同步到iPad、Mac)
- Android手机的Passkey
- YubiKey上的Passkey
建议至少创建两个不同生态的Passkey,避免单一生态系统故障导致无法登录。
删除Passkey
如果某个Passkey不再需要:
- 进入「安全」→「Passkey」
- 找到要删除的Passkey
- 点击删除
- 完成安全验证
注意: 删除Passkey前确保你还有其他登录方式可用。
常见问题
设置Passkey后还能用密码登录吗?
可以。Passkey是额外的登录选项,不会取消密码登录。你可以选择用Passkey登录或用传统密码登录。
Passkey会取代谷歌验证器吗?
目前不会。Passkey主要替代的是密码,谷歌验证器作为额外的安全层仍然有价值。特别是在进行提币等高敏感操作时,可能仍需要谷歌验证器。
换手机后Passkey还在吗?
如果你使用同一个Apple ID或Google账户,Passkey会自动同步到新手机。如果更换了不同生态(如从iPhone换到Android),需要在新设备上重新创建Passkey。
手机无法使用生物识别时怎么办?
可以使用设备的屏幕锁定密码(PIN码/图案)来替代生物识别完成Passkey验证。
Passkey是否已经足够安全,不需要其他措施了?
虽然Passkey很安全,但我仍然建议保留多层安全措施。安全领域的核心原则是"纵深防御"——即使一层被突破,还有其他层保护你。
总结
Passkey代表了身份认证的未来方向。它比密码更安全,比任何传统验证方式都更便捷,还自带防钓鱼保护。如果你的设备支持,没有理由不设置。但作为一个严谨的科技博主,我仍然建议你把Passkey作为安全体系的"加分项"而非"替代项"——在Passkey之外,保留谷歌验证器和提币白名单等传统安全措施,这才是最稳妥的方案。