技术专家、技术建议曾为谷歌提供咨询服务的强烈强烈劳伦・韦恩斯坦日前发文强烈批评谷歌推广通行密钥 (Passkey) 实现无密码登录、免二次验证登录。抨击

前文蓝点网提到经过几个月的谷歌测试后，谷歌正在向所有用户推广 Passkey，无登录点网Passkey 的密码优势是方便快捷且安全性相对来说较高，因为通 Passkey 是用户用蓝一串加密密钥，每次生成的不使 Passkey 都是不同的，因此不存在使用相同密码、技术建议弱密码造成的强烈强烈暴力破解和撞库问题。

然而 Passkey 也是抨击存在一些风险的，在谷歌测试 Passkey 期间，谷歌劳伦就与负责此事的无登录点网谷歌员工进行多次沟通，试图阻止谷歌向所有用户推行 Passkey，密码不过谷歌方面并未劳伦的用户用蓝质疑以及继续推出了 Passkey。

劳伦担忧的问题：

劳伦担忧的问题并不是 Passkey 本身，而是使用 Passkey 中间的认证环节。

Passkey 创建后在使用时，必须验证设备密码，例如 Windows Hello 验证、iOS 和安卓的 PIN / 指纹 / 面容识别、密码管理器的 PIN 或密码认证。

也就是说 Passkey 的安全性实际上完全依赖于设备身份验证，而设备身份验证对很多人来说是非常薄弱的。

劳伦举例称，例如在酒吧里有人偷窥你输入的设备密码，然后借机偷走你的手机，这样解锁手机后就可以使用所有保存的 Passkey。

而手机密码之类的由于要经常输入，被别人偷窥到的几率相对来说比较高，因此这会成为一个安全隐患。

第二个问题是账户恢复问题：

使用 Passkey 的另一个弱点是如果丢失了 Passkey，则可能导致无法登录谷歌账号，进而丢失账户里的所有数据。这种情况是存在的，但发生概率比较低，毕竟谷歌账户可以配置主邮箱、备用邮箱、OTP 验证、密码登。

而劳伦担忧的是对于初级用户来说，他们可能一开始就直接创建 Passkey，没有设置太多的备用方式，于是重装系统或丢失手机后没有 Passkey 也无法访问账户，谷歌也无法提供额外的账户恢复办法。

这些担忧有道理吗？

这些担忧确实是有道理的，但谷歌继续推出 Passkey 也不是不行，至少以谷歌在安全措施方面的做法来看，Passkey 的这些问题谷歌其他登录方式上都存在。

例如谷歌登录时二次验证可以选择通过手机谷歌或 YouTube 进行确认，相较于 Passkey，用户登录时必须先输入密码再在手机上验证，安全性稍微好些，但在手机上执行二次验证时，解锁手机就行。

Passkey 则是只要知道 Windows 和手机的 PIN 就行，身份验证方面的安全性确实要差些。

不过谷歌可能认为这些担忧相较于 Passkey 的优势来说问题不大，毕竟谷歌用户规模达到好几亿，而使用弱密码和重复密码的用户数不胜数，这导致的账号安全问题更严重。

所以谷歌可能觉得推行 Passkey 后可以彻底解决弱密码和重复密码问题，而 Passkey 的一些验证缺陷暂时可以搁置。

(责任编辑：百科)