Passkeys 2026:采用正呈爆炸式增长——但 Access Architecture 仍决定安全
Source: Dev.to
(请提供您想要翻译的具体内容,我将为您翻译成简体中文。)
概述
Passkeys 不再是实验性的。
在 2026 年,它们:
- 在主要平台上得到支持
- 由 FIDO2 和 WebAuthn 支持
- 被定位为防钓鱼认证
- 正在消费者和企业系统中积极取代密码
叙事很明确:密码正在走向终结。
但这里是工程现实:
Passkeys 解决可转移的密钥问题,但它们并不能自动解决访问架构问题。
而架构才是最终决定暴露面的因素。
为什么 Passkeys 正在取胜
Passkeys 消除了传统认证中最脆弱的组成部分:可重复使用的秘密。
- 没有可被窃取的密码数据库
- 没有凭证填充攻击
- 没有可重复使用的静态秘密
- 没有传输到服务器的共享秘密
私钥保留在设备上。认证采用挑战‑响应方式。对钓鱼攻击的抵抗显著提升。从密码学角度来看,这是一次重大升级。但密码学只是系统的一个层面。
隐藏的问题:身份仍然优先
在许多真实世界的 Passkey 部署中,流程仍然是这样开始的:
- 用户输入电子邮件 / 用户名
- 系统定位账户
- 系统触发 Passkey 挑战
- 用户确认
这比密码更好,但架构顺序并没有从根本上改变。第一次不可逆的操作仍然是标识信息的披露。
这意味着:
- 仍然可能进行账户定向攻击
- 仍然存在枚举风险(取决于实现方式)
- 钓鱼代理仍然可以动态适配流程
- 系统仍然在上下文之前假设身份
秘密变了,顺序往往没有变。而顺序很重要。
Passkeys Reduce Blast Radius — They Do Not Eliminate Early‑Phase Risk
让我们精确一点。
Passkeys:
- ✔ 移除可重复使用的密码
- ✔ 减少凭证重放
- ✔ 大幅降低基础网络钓鱼风险
- ✔ 提升密码学保证
但它们并不能自动保证:
- 强来源验证的强制执行
- 严格的重定向 URI 控制
- 正确的 state / nonce 绑定
- 清晰的身份验证与授权上下文分离
- 完善的恢复架构
许多泄露发生在流程设计层面,而非密码学层面。
实际的摩擦:恢复和多设备访问
在这里,采用速度会放慢。并不是因为 Passkey 不安全,而是因为访问架构变得更加复杂。
团队常常困惑的问题:
- 当用户失去所有设备时会怎样?
- 如何在不重新引入钓鱼向量的情况下实现恢复?
- 如何在设备之间安全地同步 Passkey?
- 企业中的共享账户怎么办?
- 如何处理特权工作流?
如果恢复回退到电子邮件链接或弱 OTP,系统就会重新引入“先泄露后上下文”的风险。最薄弱的恢复路径往往决定了真实的安全水平。
访问‑First vs 身份‑First
大多数认证系统仍然遵循身份‑first 模型:
identity → validation → access decisionPasskey 加强了验证,但不会自动重新排列模型。
访问‑first 方法则不同:
context validation → risk evaluation → minimal confirmation → access在此模型中:
- Identifier disclosure is conditional
- Confirmation is bound to action risk
- Recovery paths are treated as primary attack surface
- Authentication becomes a dynamic function, not a fixed gate
Passkey 非常适合访问‑first 逻辑,但默认情况下并不会强制执行。
为什么 2026 是转折点
通行密钥正从“功能”转向“默认”。这改变了讨论的焦点。
- 之前:“我们如何保护密码?”
- 现在:“我们如何设计弹性的访问架构?”
采用障碍不再是加密,而是系统设计。将通行密钥视为直接替代密码的团队仍可能:
- 过早泄露标识符
- 错误配置重定向策略
- 削弱恢复机制
- 忽视基于风险的确认
- 混淆身份验证与授权的界限
通行密钥提升了底线,架构仍决定上限。
工程团队应关注的重点
- 标识符披露在第一步是否绝对必要?
- 重定向 URI 是否已锁定并经过验证?
- 状态和 nonce 是否始终强制执行?
- 对公共客户端是否强制使用 PKCE?
- 恢复流程是否已加强以防钓鱼攻击?
- 确认是否与上下文和风险等级关联?
不要把通行密钥(passkeys)仅视为用户体验的改进。应将其视为更广泛访问系统中的密码学原语。
真正的收获
Passkeys 不是炒作。它们是结构性的改进。但安全性不仅取决于更强的密钥;它取决于操作顺序。如果在建立上下文之前就发生泄露,风险仍然先于正当性。身份验证的未来不仅是无密码的——它是架构感知的。