告别密码:Passkey 到底是什么,凭什么更安全?
你有没有算过,自己到底有多少个密码?邮箱、银行、购物、外卖、游戏……几十个账号,几十套「大小写 + 数字 + 符号」。记不住,于是到处用同一个;被要求定期改,于是在末尾加个「1」「2」「3」。
我们都知道这样不安全,但好像也没有更好的办法——直到 passkey(通行密钥) 出现。
如果你最近在 iPhone、Mac、微信、支付宝或某些网站上见过「创建通行密钥」「用面容/指纹登录」,那你已经和 passkey 打过照面了。这篇文章不谈代码,只用大白话讲清楚:passkey 是什么,它凭什么能既更安全、又更省事。
一、先想清楚:密码到底错在哪?
密码的问题,不在于「你设得不够复杂」,而在于它的根本设计就有缺陷。
密码是一个你和网站都知道的秘密。就像你和朋友对暗号:你说「天王盖地虎」,对方答「宝塔镇河妖」——双方都得知道这句暗号。
这带来三个躲不掉的麻烦:
1. 网站必须「记住」你的密码 哪怕它加密保存,只要它的数据库被黑客拖走,你的密码就有暴露的风险。现实中大规模「拖库」事件年年都在发生。
2. 你会被骗着把密码交出去(钓鱼) 黑客做一个和真网站一模一样的假页面,发条短信「您的账户异常,请点击登录」。你一看域名差不多,就把密码输进去了——密码当场易主。这是今天最主流的攻击方式,而且防不胜防,因为它利用的是人的疏忽。
3. 你会重复使用同一个密码(撞库) 一个网站泄露了你的密码,黑客就拿它去试你所有的其他账号。因为大家都图省事用同一套。
你会发现:只要「秘密」这个东西存在——需要被存储、被传输、被输入——它就有无数种被偷走的方式。
那能不能设计一种登录方式,根本就没有「秘密」需要交出去?
能。这就是 passkey 的思路。
二、Passkey 的核心魔法:一把钥匙劈成两半
Passkey 用了一个叫「非对称加密」的数学工具。听起来吓人,其实一个比喻就懂:
想象一把特殊的钥匙,从中间劈成两半:
- 一半叫私钥,只有你有,你藏得死死的,谁也不给。
- 一半叫公钥,你可以随便复印、到处发,给谁都行。
这两半有一对神奇的性质:
- 私钥能「签名」,公钥能「验签」。 你用私钥在一份文件上按个手印,任何拿到公钥的人都能验证「这手印确实是这半钥匙按的」,而且——
- 光有公钥,永远造不出私钥,也伪造不了那个手印。
把它套到登录上,整件事就变得很妙:
- 注册时:你的设备生成这么一对钥匙。私钥留在你自己手机里,公钥交给网站保管。
- 登录时:网站出一道随机题,你用私钥「签个名」发回去,网站用手里的公钥一验——对得上,就是你本人。
关键来了:
整个过程,私钥从没离开过你的设备,网站那边永远只有公钥。
这意味着什么?
- 网站被拖库?黑客只拿到公钥——公钥本来就是公开的,拿了也登不了你的账号。
- 有人截获了你登录时发的数据?那只是一个一次性的签名,用过就废,伪造不了下一次。
- 你想被钓鱼?抱歉,后面会讲,你根本骗不进去。
没有共享的秘密,就没有可以被偷走的秘密。 这是 passkey 一切优势的源头。
三、那 Face ID / 指纹又是干嘛的?(最多人误会的一点)
很多人以为:「哦,passkey 就是用我的指纹/面容当密码嘛。」
不对。这是最大的误解。
你的指纹和面容,从来没有被上传到任何网站。它自始至终只待在你手机里一块专门的安全芯片中(苹果叫它 Secure Enclave)。
那 Face ID / Touch ID 到底在登录时做了什么?它做的是**「开锁」这个动作**:
你的私钥被锁在手机的安全芯片里。当网站要求你签名时,芯片会问一句:「确认是机主本人吗?」 你看一眼(Face ID)或按一下(Touch ID),就等于回答:「是我,授权这一次。」 芯片确认后,在芯片内部用私钥完成签名,然后只把签名结果吐出来。
打个比方:
私钥是一支被锁在保险箱里的签字笔。Face ID 是开保险箱的那一下。 你能让它签字,但你永远拿不走那支笔——它只在保险箱里落笔,写完字,笔又锁回去了。
所以整条链上有三样东西永远不离开你的设备:
- 🔒 私钥(那支笔)
- 🔒 你的指纹/面容数据(开锁的凭据)
- ⚙️ 签名这个动作(在保险箱里完成)
外部世界只能拿到一样东西:签好的那个「名」。
这也是为什么就算你手机丢了,捡到的人也用不了你的 passkey——没有你的脸或指纹,保险箱打不开。
四、为什么 passkey 能「物理防钓鱼」?
前面说钓鱼是今天最可怕的攻击,而 passkey 能从根上防住它。这不是靠「提醒你小心」,而是靠一条机器自己会执行的铁律。
每一个 passkey,在创建的那一刻,就被焊死在一个特定的网站域名上。给 taobao.com 创建的钥匙,在协议层面就只能用于 taobao.com。
现在假设你被骗到了一个假网站 taobao-vip.com:
- 你的手机去找「能用于
taobao-vip.com的钥匙」——根本找不到,因为你的钥匙只认taobao.com。于是它压根不会掏出私钥。 - 就算强行操作,浏览器在签名时会如实写上你当前所在的真实网址
taobao-vip.com(这一步由浏览器把关,假网站的网页代码改不了)。真淘宝服务器一看网址不对,签名当场作废。
对比一下:
传统密码(哪怕加了短信验证码):你会亲手把密码、验证码,输进假网站,黑客实时转发给真网站,照样登进去。
Passkey:你想给假网站签名都签不出来。 机器替你把住了这道关。
这是质的区别——它把「防不防得住钓鱼」从依赖用户的警惕,变成了依赖数学和协议。
五、走一遍完整流程(用大白话)
把上面拼起来,看看真实用起来是什么样。
注册(第一次绑定)
- 你在网站点「创建通行密钥」。
- 网站发来一道随机题(防止别人录屏重放)。
- 你的手机弹出 Face ID / Touch ID,你确认。
- 手机安全芯片当场生成一对钥匙:私钥留下,公钥交出。
- 公钥被送回网站,和你的账号绑定保存。
✅ 完成。整个过程你没设任何密码,也没有任何秘密离开你的手机。
登录(以后每次)
- 你点「用通行密钥登录」。
- 网站发来一道全新的随机题。
- 你 Face ID / Touch ID 确认。
- 芯片用私钥签名,把签名发回网站。
- 网站用当初存的公钥一验——通过,登录成功。
✅ 完成。没有密码、没有验证码、没有「记住我」的纠结。一步到位,还更安全。
六、可是……手机丢了怎么办?
这是所有人都会问的问题,也是 passkey 真正走向大众的关键。答案是:你的 passkey 通常会安全地同步、备份在云端。
- 苹果设备之间,通过 iCloud 钥匙串同步;
- 安卓通过 Google 密码管理器;
- 也可以用 1Password、微信等第三方保管。
注意:同步到云端的私钥是经过端到端加密的——连苹果、谷歌自己都解不开、用不了。所以你换新手机,登录你的账户,passkey 就自动恢复了,不会因为丢一台设备就永久失去账号。
如果你是对安全要求极高的人(比如管理员),还可以用一把物理安全密钥(像 YubiKey 这样的小硬件),私钥永远不联网、不同步,插上 + 触碰才能用。丢了就用备用的那把——安全性拉满,代价是得自己管好备份。
七、一张表,记住 passkey 的好
| 你担心的事 | 密码 | Passkey |
|---|---|---|
| 网站被拖库,密码泄露 | 😱 会 | 😌 只泄露公钥,没用 |
| 被假网站骗走(钓鱼) | 😱 会 | 😌 机器帮你拒绝 |
| 一处泄露,处处遭殃 | 😱 会 | 😌 每个网站钥匙独立 |
| 登录被截获重放 | 😱 可能 | 😌 一次性签名,用完即废 |
| 要记一堆复杂密码 | 😩 要 | 😄 不用,看一眼/按一下 |
八、写在最后:这不只是「更方便」
Passkey 常被宣传成「登录更快」,但它真正的意义远不止于此。
过去几十年,网络安全一直在打一场注定要输的仗:我们把「保管秘密」的责任压在普通人身上——要你设复杂密码、要你分辨真假网站、要你别重复使用……可人是会累、会疏忽的,黑客只要骗对一次就够了。
Passkey 换了个思路:干脆让「可以被偷走的秘密」不再存在。 你不需要更聪明、更警惕,安全性由数学和你手机里那块芯片默默兜底。
这就是为什么苹果、谷歌、微软,以及越来越多的银行和网站,都在推动它成为密码的最终替代品。
下一次当你看到「创建通行密钥」时,不妨点一下试试。你放弃的,只是一个迟早会被人惦记的密码;你得到的,是一把谁也偷不走的钥匙。
想亲眼看看这一切在你按下 Face ID 的瞬间是怎么发生的?可以打开配套的可视化演示网站,一步步看数据如何流动、私钥如何始终待在你的设备里。