Passkey 是什么 · 90 秒入门

Passkey 是什么 · 30 秒答

一句话：用你手机或电脑里的生物识别（指纹、Face ID、Windows Hello），代替密码登录网站。

不用再输 12 位带符号的密码，也不用再打开密码管理器复制粘贴。你点页面上"用 Passkey 登录"那个按钮，手机弹出指纹或面容提示，按一下，就进了网站。整个过程大概两秒。

背后的协议叫 FIDO2 / WebAuthn，由 Apple、Google、微软三家联合推动。原理是一对公私钥。私钥永远留在你设备的安全芯片里。服务器只存一份对应的公钥。登录的时候，服务器发一段随机挑战数据。你的设备用私钥签一下回传，服务器用公钥验签通过，就放你进去。整个过程里，"密码"这个东西从头到尾没出现过，也没传到服务器上。

所以哪怕服务器被拖库，泄露的也只是一堆公钥。公钥泄了对你不构成任何威胁。攻击者拿着公钥反推不出私钥，也就登不进你的账户。这是和传统密码最大的结构性差别。

它和密码 / 短信 2FA 的区别

密码可以被钓鱼。你被骗到一个长得像 binance.com 的假站（实际是 binnance.com，多一个 n）。你输了密码，又输了短信验证码。骗子在后台用脚本把这两段字符同步贴到真站，账户就没了。短信 2FA 在这种"中间人中继"攻击下基本没用，因为两段字符都是你亲手交出去的。

Passkey 不一样。它在协议层把"当前网站的域名"绑进签名里。你设备里给 binance.com 注册的那个 Passkey，浏览器在 binnance.com 上根本不会列为可选项。域名对不上，系统自动忽略。钓鱼站连"让你提交输入"的入口都没有，屏幕上压根没东西需要你手动输入。

这是 Passkey 比所有"6 位数验证码"类 2FA 都强的根本原因。6 位数你看得见，所以你可以被骗着输到错的地方。Passkey 你看不见摸不着，钓鱼站也拿不到。

哪里能用 · 怎么开

主流平台目前都支持。Google 账户、Apple ID、Microsoft 账户、GitHub、1Password、Binance、OKX、Coinbase、PayPal、Amazon、Shopify —— 这些我自己都开过。开通路径大同小异：

账户设置 → 安全 / Security → 添加 Passkey / Add a passkey → 系统弹指纹或 Face ID 提示 → 按一下完成。

iCloud Keychain 和 Google Password Manager 会把 Passkey 自动同步到你登录同一个 Apple ID / Google 账户的所有设备上。换新手机不用重新注册。登录新设备的时候，老设备弹一下确认就好。跨平台也通了：在朋友的 Windows 电脑上登录你的 Google 账户，浏览器会显示一个二维码。你用自己的 iPhone 扫一下、按指纹，就完成登录。

想再深一层，了解 Passkey 和短信、TOTP、硬件密钥四种 2FA 的真实安全等级差距，看这篇：2FA 的真相 · 为什么短信不安全。