AI 摘要：本文深入探讨了传统双因素认证（2FA）的漏洞（如钓鱼攻击风险），并介绍了更安全的替代方案——通行密钥（Passkeys）。文章通过 WhatsApp、LinkedIn 和 Ubiquiti 的实际案例，详细解析了通行密钥的设置流程、优势（如防钓鱼、跨设备同步）和局限性（如服务间实现差异），并进一步探讨了物理安全密钥（如 YubiKey）的强化作用。最后，作者呼吁用户尽早采用通行密钥，并推动更多服务支持这一技术。

1. 传统 2FA 的漏洞
• 问题描述：通过模拟 Mailchimp 钓鱼攻击案例，说明即使启用 2FA（如验证码），攻击者仍可诱导用户提交动态密码（OTP），从而入侵账户。
• 核心缺陷：OTP 和短信验证码可被钓鱼，无法从根本上抵御社会工程攻击。

2. 通行密钥（Passkeys）的解决方案
• 定义：基于加密技术的数字凭证，存储在设备或密码管理器中，无需手动输入。
• 优势：
• 防钓鱼：密钥与域名绑定，无法被伪造网站窃取。
• 便捷性：支持生物识别（如 Face ID）一键登录。
• 跨设备同步：可通过 iCloud、1Password 等工具多端共享。

3. 通行密钥实践案例
• WhatsApp（移动端）：
• 设置流程：通过 iPhone 的 iCloud Keychain 或 1Password 存储密钥。
• 局限性：部分服务（如 WhatsApp）未提供明确的登录测试路径。
• LinkedIn（PC 端）：
• 混合验证模式：通行密钥与密码共存，仍保留可被钓鱼的 OTP 2FA。
• 用户体验：1Password 自动填充密钥实现秒级登录。
• Ubiquiti（强化 2FA）：
• 完全替代 OTP：通行密钥作为唯一 2FA 方式，支持物理安全密钥（YubiKey）。
• 安全升级：移除邮箱验证，降低中间人攻击风险。

4. 物理安全密钥（U2F）
• 原理：如 YubiKey 通过 USB/NFC 存储通行密钥，需物理接触才能使用。
• 优势：
• 抵御远程攻击：即使密码管理器被入侵，物理密钥仍可保护账户。
• 冗余设计：建议配置多个密钥以防丢失。

5. 通行密钥的推广现状
• 支持平台：1Password 的 passkeys.directory 列出已支持的服务（如 Google、Microsoft）。
• 用户行动建议：
• 优先为关键账户（如邮箱、银行）启用通行密钥。
• 向未支持的服务（如 Twitter）投票施压。

6. 总结与展望
• 防御纵深：通行密钥需与其他安全实践（如警惕钓鱼邮件、使用密码管理器）结合。
• 行业趋势：微软已默认启用无密码登录，通行密钥普及临近拐点。

Troy Hunt

Passkeys for Normal People

Let me start by very simply explaining the problem we're trying to solve with passkeys. Imagine you're logging on to a website like this: