这篇文章是由一位参与开发Rust语言Webauthn库的开发者所写,主要内容是关于Passkeys技术及其用户体验的问题。这位开发者对Passkeys技术抱有失望的态度,因为他认为这项技术并没有达到最初的预期,即成为结束密码时代的解决方案。
https://fy.blackhats.net.au/blog/2024-04-26-passkeys-a-shattered-dream/
Apple Keychain问题:作者的伴侣在使用家庭灯光控制系统时,因为Apple Keychain删除了正在使用的Passkey,导致无法登录。
标准开放性问题:Webauthn标准的开放性不如预期,Chrome浏览器的开发受Google严格控制,导致一些重要的安全功能(如Authenticator Selection Extension)未能实现。
市场控制:Passkeys被用作一种锁定用户于特定平台的手段,特别是当用户的凭证无法被提取或导出时,这限制了用户的选择。
用户体验不佳:Chrome和Safari在推动使用混合认证(如caBLE)时,用户体验差,有时甚至不如传统密码。
Android平台问题:Android在某些情况下不会激活安全密钥,导致用户无法使用他们选择的设备。
用户困境:在技术论坛上,用户报告了多种问题,包括安全密钥无法注册、平台错误、密钥创建问题等,这些问题表明了用户在使用Passkeys时的困境。
个人建议:作者推荐使用密码管理器,并建议将Passkeys存储在用户可控的密码管理器中,而不是平台控制的存储中。
企业用途:尽管存在问题,作者认为在企业环境中,有认证的安全密钥仍有其用途,但需要注意避免供应商锁定。
https://fy.blackhats.net.au/blog/2024-04-26-passkeys-a-shattered-dream/
Apple Keychain问题:作者的伴侣在使用家庭灯光控制系统时,因为Apple Keychain删除了正在使用的Passkey,导致无法登录。
标准开放性问题:Webauthn标准的开放性不如预期,Chrome浏览器的开发受Google严格控制,导致一些重要的安全功能(如Authenticator Selection Extension)未能实现。
市场控制:Passkeys被用作一种锁定用户于特定平台的手段,特别是当用户的凭证无法被提取或导出时,这限制了用户的选择。
用户体验不佳:Chrome和Safari在推动使用混合认证(如caBLE)时,用户体验差,有时甚至不如传统密码。
Android平台问题:Android在某些情况下不会激活安全密钥,导致用户无法使用他们选择的设备。
用户困境:在技术论坛上,用户报告了多种问题,包括安全密钥无法注册、平台错误、密钥创建问题等,这些问题表明了用户在使用Passkeys时的困境。
个人建议:作者推荐使用密码管理器,并建议将Passkeys存储在用户可控的密码管理器中,而不是平台控制的存储中。
企业用途:尽管存在问题,作者认为在企业环境中,有认证的安全密钥仍有其用途,但需要注意避免供应商锁定。