使用密钥时还需要密码吗？

Question

Apple 和 Google 都在其开发者大会（Google I/O和Apple WWDC 2022 ）上演示了Passkeys，微软也参与其中。能够在设备之间传输密钥消除了 FIDO2/WebAuthn 的主要限制，并且可能会成为突破。

然而，苹果和谷歌在他们的演示中展示了在带有用户名和密码的帐户之上的密钥设置。创建密钥后，无需密码即可登录。

• Passkey真的需要现有帐户和密码吗？
• 或者这只是帐户设置时暂时需要的？
• 或者用户可以仅使用用户名和密码注册一个新帐户并且真正实现无密码吗？

Answer 1

好问题 \xe2\x80\x93 自从 WebAuthn 平台验证器（现在是密钥）发布以来，我们一直在努力寻找好的答案。

\n

长话短说：

\n

\n
• 密钥不需要密码；密钥和密码可以共存，但互不要求
\n
• 仅由一个或多个密钥保护的无密码帐户是明确的目标，一旦所有平台都完全支持密钥，该帐户将成为现实
\n

\n

但您必须考虑到普通用户对身份验证的了解以及他们想要创建帐户或登录您的应用程序或网站时的期望。

\n

我们经常从用户和服务提供商那里听到这样的事情：

\n

\n
• “如果我不需要输入密码，我的帐户如何安全？”
\n
• “我不想让这个网站看到我的指纹”（这当然永远不会发生，但仍然是 WebAuthn 用户最关心的问题）
\n
• “我丢失了手机（因此也丢失了密钥）并想要登录，在哪里可以输入密码？”
\n
• “我仍然使用 Windows 7，无法使用密钥”
\n

\n

最终，为当今的任何生产登录仅提供基于密码的身份验证并不是一个好主意。几年后，情况会有所不同，但目前唯一明智的方法是提供使用密码替代方案的常规登录（在支持的设备上）。慢慢地，用户将了解大帐户提供商（苹果、谷歌、微软、亚马逊等）的技术和术语“密钥”，并且典型的用户名/密码登录表单将降级为后备/恢复方法，并希望总有一天会完全消失。

\n