Reddit CEO：Face ID和Touch ID正在推动Passkey采用

无痛的Passkey转换

在过去十年左右，技术行业一直在试图消除密码。反对密码的理由是压倒性的：它们在多个网站上被重复使用、在数据泄露中被窃取、通过欺骗性网站被钓鱼、被蛮力破解，以及被设置者遗忘。尽管有明确的技术共识认为Passkey提供了显著优越的安全性，但这一过渡一直很缓慢——主要是因为改变消费者身份认证习惯是出了名的困难。

Reddit CEO Steve Huffman指出了一个可能改变这一动态的因素：Apple的Face ID和Touch ID。Huffman的言论引起了安全社区的关注，他辩称Apple设备上的生物识别认证除了其主要安全功能外，还具有一个被低估的次要优势。通过使Passkey认证感到轻松而熟悉——你每天已经用这种方式解锁手机数十次——Apple的生物识别系统有效地降低了采用Passkey的心理障碍，这是安全教育从未达到过的。

Passkey如何工作

Passkey是基于WebAuthn标准构建的，它使用公钥密码学来认证用户，而不需要向网站或服务传输密码等秘密。用户的设备保留从不离开它的私钥；网站保留相应的公钥。认证涉及设备签署来自网站的质询，网站使用其公钥验证该签署。攻击者破坏网站数据库只会获得公钥——对认证毫无用处。

相对于密码的安全改进是显著的。因为凭证从不离开用户的设备，钓鱼攻击对Passkey在根本上是无效的。私钥绑定到创建它的特定网站，因此即使用户被欺骗访问虚假网站，Passkey认证也会失败，因为凭证不匹配。

行为洞察

Huffman的观察是生物识别认证在Apple设备上做了安全研究人员无法做到的事情：它使复杂的密码操作感到无关紧要。使用Face ID或Touch ID进行认证的用户正在执行支持Passkey的相同公钥密码学，但他们将其视为他们用来解锁手机的相同手势——一种零摩擦的交互，他们已经将其内化为设备使用的一部分。

其含义是Passkey采用的障碍不是主要的技术或传统意义上的行为障碍。用户不是因为不理解安全好处而抗拒。他们之所以抗拒，是因为新的认证方法需要学习新的行为，而新行为涉及摩擦。通过将Passkey认证与用户已经学会和养成习惯的生物识别手势连接起来，Apple将该摩擦对于智能手机使用人口的很大一部分几乎降低到零。

对数字安全的更广泛影响

Reddit一直是向其用户群推动Passkey采用的更活跃的平台之一，部分原因是Huffman对该技术的个人兴趣，部分原因是该平台在基于凭证的安全事件方面的历史。该公司的经验表明，通过Apple设备进行认证的用户中Passkey采用率明显高于使用其他方法的用户——数据支持Huffman关于生物识别为何加速转换的理论账户。

如果Face ID和Touch ID真的在催化Passkey采用，其含义超越了任何单一平台。Apple设备代表了关键市场中高端智能手机用户的相当份额，这些用户往往是影响更广泛技术趋势的早期采用者。一项可信路径上取代密码的技术——数字基础设施中最持久的安全弱点之一——代表安全景观的有意义转变，由于Apple的隐形分发机制，它可能比大多数安全专业人士预期的更快到来。

本文基于9to5Mac的报道。阅读原文。