今天是2026年5月26日,香港科技博主周汉范聊起一件彻底改变普通人生活的大事,传统密码要正式退场了。
我们都有过类似的抓狂经历,好不容易输入账号,死活想不起密码,重置密码被问“小学最喜欢的零食”,试错几次只能绝望放弃。
最近,越来越多网站不再问你要密码,而是弹出一个叫“Passkey”的选项。
英国国家网络安全中心甚至出面喊话,呼吁民众全面停用老旧密码,很多人心里犯嘀咕,这是新套路还是一场技术革命?
密码这东西用了几十年,大家一边抱怨一边凑合用。为什么现在整个科技圈、安全界甚至政府单位都急着把它淘汰?原因很简单,传统密码在当下社会已经行不通了。
它有着天生的缺陷:要安全就难记,好记就不安全。有人全用ABC,有人一路123。后来网站强制要求加入大小写和特殊符号,结果大部分人也就是把首字母大写,后面加个@符号交差。
导致你在各个社交平台、购物网站上,用的几乎都是同一组修修改改的密码。
我们的大脑本来就不适合管理几十组复杂的乱码。黑客恰恰最喜欢这一点。网络安全报告指出,高达22%的信息泄露事件,源头就是密码被盗。
黑客根本不需要狂敲键盘攻破防火墙,他们只要拿到你在A网站泄露的账号密码,写个程序去B网站、C网站疯狂测试。也就是行内俗称的“撞库攻击”。
只要你多处用一个密码,账号立刻全面沦陷。
后来为了堵漏洞,开始流行手机短信双重验证。不过问题接踵而至,诈骗分子的技术也在全面升级。
如今的攻击者会直接做一个逼真的钓鱼网站,让你乖乖交出账号、密码和刚收到的短信验证码。前不久有朋友收到邮件,说发票中奖了四千块,点击进入所谓的“官方整合平台”。
人只要一激动,马上输入验证码。同一时间,黑客就在另一头真正的官网上用你给的验证码登录。一进一出,账号就被洗劫一空。后来从外部网络查证,才发现那根本是个彻头彻尾的骗局。
更可怕的是,现在的钓鱼邮件也在迭代,以前的诈骗信一看就是机器翻译,繁简转换都有错。
如今有了人工智能加持,骗子能写出极其自然的邮件,模仿客服语气,甚至根据你的职业、社交动态量身定制。
微软团队发现,这类AI生成的钓鱼信,点击率竟然高达54%。光靠用户自己多留心眼,早就防不住了。
在这个节骨眼上,Passkey的技术刚好成熟。简单来说,它是一把存在你手机或电脑里的“数字钥匙”,由你的设备替你保管。
以前登录网站,是把一串通关密语交给网站核对。只要网站被黑,密码就丢了。Passkey的逻辑完全不同,它是FIDO联盟推动的国际标准,采用公开密钥加密技术。
你在某网站设定Passkey后,手机会生成一对专属钥匙:私钥自己藏在手机里,公钥交给网站保存。
下次登录,网站不再问你密码,而是发一道验证题。
你用刷脸、指纹解锁手机上的Passkey,设备就会用私钥给这道题做加密签名。网站拿公钥一核对,对上了就放行。整个过程,网站只能确认签名,拿不到你的私钥。
即使网站服务器被黑客一锅端,他们拿到的公钥也无法用来登录。
目前苹果从iOS 16开始力推,谷歌在2023年也全面接入,连亚马逊和微软都已经支持。虽然还没到百分百普及的阶段,发展规模已经相当惊人。
不到一年时间,光是谷歌就有超4亿账户使用过Passkey,完成验证超10亿次。FIDO联盟预估,今年全球已有50亿个Passkey正在运转,大部分企业都在加紧部署。
平时企业处理忘记密码,包含IT人员的时间和员工停工的损失,平均一次就要耗费70美元。如果做双重验证,每人每月还要增加额外成本。
改用Passkey,既省钱又安全。大家可能会觉得,太好了,黑客马上要集体失业。
千万别盲目乐观。Passkey确实补上了密码最大的漏洞,同时也把风险转移到了别处。
首要问题就是“账号找回”的后门漏洞。如果一个网站支持Passkey,同时又允许你用邮箱或人工客服重置账号,黑客根本不需要硬碰硬破解Passkey,直接绕到后门攻击你的邮箱就能拿下控制权。
其次是信任的转移。以前你在不同设备间用密码登录,现在Passkey通常和手机平台深度绑定,跨平台同步。
我们要开始担心,手机丢了怎么办?苹果、谷歌、微软这些平台的底层系统足够安全吗?
我们的数字身份验证方式正在发生剧变。以前是“我知道什么”(记住密码),现在变成了“我拥有什么”(掌握并能解锁这台手机)。
数字世界正在经历一场大洗牌,传统密码这种反直觉的设计注定要被时代淘汰,取而代之的是更无感、更底层的生物识别技术。
我们交出记忆密码的负担,换来的是对智能手机和几大科技平台更深的依赖。
无论咱们是否习惯,这股浪潮已经势不可挡。搞懂这些背后的逻辑,守好自己手里的设备,才是通往未来数字生活真正的护身符。
热门跟贴