技术专家强烈抨击谷歌的无密码登录方法 同时强烈建议用户不要使用 – 蓝点网

技术专家、技术建议曾为谷歌提供咨询服务的强烈强烈劳伦・韦恩斯坦日前发文强烈批评谷歌推广通行密钥 (Passkey) 实现无密码登录、免二次验证登录。抨击

前文蓝点网提到经过几个月的谷歌测试后，谷歌正在向所有用户推广 Passkey，无登录点网Passkey 的密码优势是方便快捷且安全性相对来说较高，因为通 Passkey 是用户用蓝一串加密密钥，每次生成的不使 Passkey 都是不同的，因此不存在使用相同密码、技术建议弱密码造成的强烈强烈暴力破解和撞库问题。

然而 Passkey 也是抨击存在一些风险的，在谷歌测试 Passkey 期间，谷歌劳伦就与负责此事的无登录点网谷歌员工进行多次沟通，试图阻止谷歌向所有用户推行 Passkey，密码不过谷歌方面并未劳伦的用户用蓝质疑以及继续推出了 Passkey。

劳伦担忧的问题：

劳伦担忧的问题并不是 Passkey 本身，而是使用 Passkey 中间的认证环节。

Passkey 创建后在使用时，必须验证设备密码，例如 Windows Hello 验证、iOS 和安卓的 PIN / 指纹 / 面容识别、密码管理器的 PIN 或密码认证。

也就是说 Passkey 的安全性实际上完全依赖于设备身份验证，而设备身份验证对很多人来说是非常薄弱的。

劳伦举例称，例如在酒吧里有人偷窥你输入的设备密码，然后借机偷走你的手机，这样解锁手机后就可以使用所有保存的 Passkey。

而手机密码之类的由于要经常输入，被别人偷窥到的几率相对来说比较高，因此这会成为一个安全隐患。

第二个问题是账户恢复问题：

使用 Passkey 的另一个弱点是如果丢失了 Passkey，则可能导致无法登录谷歌账号，进而丢失账户里的所有数据。这种情况是存在的，但发生概率比较低，毕竟谷歌账户可以配置主邮箱、备用邮箱、OTP 验证、密码登。

而劳伦担忧的是对于初级用户来说，他们可能一开始就直接创建 Passkey，没有设置太多的备用方式，于是重装系统或丢失手机后没有 Passkey 也无法访问账户，谷歌也无法提供额外的账户恢复办法。

这些担忧有道理吗？

这些担忧确实是有道理的，但谷歌继续推出 Passkey 也不是不行，至少以谷歌在安全措施方面的做法来看，Passkey 的这些问题谷歌其他登录方式上都存在。

例如谷歌登录时二次验证可以选择通过手机谷歌或 YouTube 进行确认，相较于 Passkey，用户登录时必须先输入密码再在手机上验证，安全性稍微好些，但在手机上执行二次验证时，解锁手机就行。

Passkey 则是只要知道 Windows 和手机的 PIN 就行，身份验证方面的安全性确实要差些。

不过谷歌可能认为这些担忧相较于 Passkey 的优势来说问题不大，毕竟谷歌用户规模达到好几亿，而使用弱密码和重复密码的用户数不胜数，这导致的账号安全问题更严重。

所以谷歌可能觉得推行 Passkey 后可以彻底解决弱密码和重复密码问题，而 Passkey 的一些验证缺陷暂时可以搁置。