先说个扎心的事实:大部分人的密码管理方式都有问题。
要么是所有账号用同一个密码(方便是方便了,一个被盗全部完蛋),要么是密码太复杂自己都记不住(然后不停地点"忘记密码"),要么是搞了两步验证但每次登录都要掏手机输验证码(麻烦得想砸手机)。
Google 从 2023 年开始大力推广的 Passkey(中文叫"密钥"或"通行密钥"),就是想把这些问题一次性解决掉。不用记密码,不用输验证码,刷个指纹或者扫个脸就登录了。
听起来像科幻片?其实没那么玄乎。往下看。
Passkey 到底是个什么东西
最简单的理解方式:Passkey 就是用你的指纹、面部识别或者屏幕锁来代替密码。
你解锁手机用的是什么?指纹或者 Face ID 对吧。Passkey 的逻辑一模一样——只不过它不是用来解锁手机,而是用来登录你的 Google 账号(以及越来越多的其他网站)。
具体来说,当你给 Google 账号设置了 Passkey 之后,下次登录的时候:
- 打开 Google 登录页面,输入邮箱地址
- 系统弹出提示,让你验证身份
- 你按一下指纹传感器 / 看一眼摄像头 / 输入手机的屏幕锁密码
- 搞定,直接进去了
没有密码输入框,没有短信验证码,没有"请打开 Google Authenticator 应用"。整个过程两三秒钟。
背后的原理(不想看技术细节可以跳过)
Passkey 基于一种叫 FIDO2/WebAuthn 的技术标准。这不是 Google 自己搞的私有技术,而是 FIDO 联盟制定的开放标准,Apple、Microsoft、Google 三家巨头都参与了。
简化版原理是这样的:
当你创建一个 Passkey 时,你的设备(手机或电脑)会生成一对密钥:
- 私钥 — 存在你的设备本地,永远不会发送到任何地方
- 公钥 — 发送给 Google 服务器保存
登录时,Google 服务器发一个"挑战"给你的设备,你的设备用私钥签名后发回去,Google 用公钥验证签名是否正确。验证通过就放行。
关键点在于:你的私钥从头到尾都没有离开过你的设备。Google 的服务器上只有公钥,就算 Google 被黑客攻破了(虽然概率极低),黑客拿到公钥也没用,因为公钥不能用来登录。
这跟传统密码完全不同。传统密码是"你知道一个秘密,服务器也知道这个秘密",黑客只要从任何一端拿到这个秘密就能登录。Passkey 是"只有你的设备知道秘密,服务器不知道",从根上杜绝了密码泄露的可能。
比传统密码好在哪里
不怕钓鱼攻击
传统密码最大的安全隐患不是暴力破解,而是钓鱼。骗子做一个假的 Google 登录页面,你输入了密码,密码就到骗子手里了。
Passkey 不吃这一套。你的设备在进行身份验证时会核对网站的真实域名。假网站的域名和真正的 accounts.google.com 对不上,设备直接拒绝验证。你甚至不需要自己去辨别真假——设备帮你辨别了。
不怕密码泄露
因为压根就没有密码。服务器上没有存储任何可以用来直接登录的凭据。数据库泄露?无所谓,公钥是公开的,拿去也没用。
不怕撞库攻击
所谓撞库就是黑客拿到一个网站泄露的用户名和密码,去其他网站挨个试。很多人密码通用,所以这招经常奏效。但 Passkey 是跟特定网站绑定的,每个网站的密钥对都不同,不存在"撞库"这回事。
登录体验好太多
不用记密码、不用输验证码、不用等短信。按一下指纹就完了。说实话,用习惯之后再回去输密码会觉得特别原始。
怎么给 Google 账号设置 Passkey
设置过程很简单,五分钟搞定。
在手机上设置
- 用浏览器打开
myaccount.google.com - 登录你的 Google 账号
- 进入 "安全性" 页面
- 找到 "密钥和安全密钥"(或 Passkeys and security keys)
- 点击 "创建密钥"
- 按照提示验证你的指纹或面部识别
- 完成
Android 手机上如果你已经登录了 Google 账号,系统可能已经自动帮你创建了 Passkey,你去设置里看看就知道了。
在电脑上设置
- 打开 Chrome 浏览器,访问
myaccount.google.com - 同样进入 "安全性" → "密钥和安全密钥"
- 点击创建
- 如果你的电脑支持指纹识别(比如 MacBook 的 Touch ID),直接用指纹验证
- 如果电脑没有生物识别,可以选择用手机扫二维码来创建
可以在多个设备上设置
一个 Google 账号可以绑定多个 Passkey。建议你在常用的几个设备上都设置一下:手机一个、个人电脑一个、平板一个。这样不管用哪个设备都能快速登录。
常见疑问
手机丢了怎么办?
这是大家最担心的问题。答案是:不用太慌。
首先,别人捡到你的手机也没法用你的 Passkey,因为还需要通过你的指纹或面部识别才能调用。其次,你的 Google 账号原来的密码和两步验证并没有被删除,Passkey 是额外增加的登录方式,不是替代品。手机丢了,你用密码照样能登录,然后去设置里把丢失设备的 Passkey 删掉就行。
另外,如果你用的是 iPhone,Passkey 会通过 iCloud 钥匙串同步到你的其他 Apple 设备。Android 则通过 Google 密码管理器同步。所以即使一台设备丢了,其他设备上的 Passkey 还在。
Passkey 能跨设备使用吗?
可以。如果你在手机上创建了 Passkey,在电脑上登录时可以选择"使用其他设备",然后用手机扫一下电脑屏幕上的二维码,再在手机上验证一下身份就行了。不算特别方便,但偶尔用一下完全可以接受。
设置了 Passkey,原来的密码还能用吗?
能。目前 Passkey 和密码是并存的。设置 Passkey 不会删除你的密码,你随时可以回退到密码登录。Google 现在的策略是优先提示你用 Passkey,但不强制。
哪些设备支持?
- iPhone — iOS 16 及以上
- Android — Android 9 及以上(推荐 Android 14+,体验更好)
- Mac — macOS Ventura 及以上
- Windows — Windows 10 及以上(通过 Windows Hello)
- 浏览器 — Chrome 109+、Safari 16+、Edge 109+
如果你的设备比较老,可能不支持。不过 2023 年之后买的设备基本都没问题。
除了 Google,还有哪些网站支持 Passkey?
越来越多了。目前已经支持的包括:Apple、Microsoft、GitHub、PayPal、Amazon、eBay、WhatsApp、TikTok、Uber、Shopify、Adobe、任天堂……列表还在不断变长。可以去 passkeys.directory 查看完整的支持列表。
Passkey 会完全取代密码吗
短期内不会,但长期来看大概率会。
现阶段 Passkey 还有几个现实问题:
- 用户认知不足 — 很多人根本不知道有这个东西
- 设备依赖 — 必须有支持的设备才能用,公用电脑上用起来不太方便
- 生态还在完善 — 跨平台同步(比如从 iPhone 到 Windows)还不够丝滑
- 网站支持覆盖不全 — 很多中小网站还没接入
但趋势已经很明确了。Google 在 2024 年宣布 Passkey 的使用量已经超过了传统两步验证方式。Apple 和 Microsoft 也在各自的生态里全力推进。FIDO 联盟正在解决跨平台同步的问题。
可能再过三五年,注册新账号的时候就不会再让你设置密码了,直接创建 Passkey 就行。
建议:现在就开始用
不需要等到 Passkey 完全普及才开始用。现在就可以给你的 Google 账号加上,体验一下无密码登录的感觉。
操作建议:
- 先在最常用的设备上创建 Passkey,感受一下登录流程
- 不要删除原来的密码和两步验证,把 Passkey 当作额外的快捷登录方式
- 在 2-3 个常用设备上都设置,避免单点依赖
- 检查你的其他常用账号(Apple ID、GitHub、Amazon 等)是否也支持 Passkey,支持的话一并设置
密码这个东西,用了几十年了,该换换了。Passkey 不是未来的技术,它已经是现在可以用的东西。既然更安全也更方便,没有理由不试试。