如果只用 WebAuthn(Passkey)做网站唯一登录凭证是否靠谱？会有哪些安全风险和弊端？

安全设计的预设：如果坏人能控制你的人身自由，解锁你的设备，就不用考虑密码的安全风险

一般而言生体认证无法使用的话会回落到使用锁屏密码，所以倒不至于会有突然验证不过就登录不了的问题。
Passkey 的最大问题还是在于同步问题。海外用户的 Android 有 Google Password Manager ，国内总不能指望每个人都用 Bitwarden ，甚至是 1password 等。

Passkey 并不只有生物识别，usb key 硬件认证器、手机扫描认证、windows hello pin 、密码管理器等都可以认证。

如果准备舍弃密码登录，就至少要注册 2-3 个 Passkey 设备，或者可以云同步的 Passkey 管理器。

用户学习成本太高，可能就不会注册你网站了
生物识别也就是设备返回给你的结果，至于是不是真的去识别了，都能修改的

@jiagm 所以只要知道锁屏密码就能登录凭证，感觉不安全。Google Password Manager 国内不可用吗？挂梯子忽略了这个问题。

@cccer
@jocover 咱们说说安全的事。

@raw0xff 这东西标准是要去验证用户设备证书是否有效，否则你用第三方设备可以轻易模拟 passkeys 登录，然后 dump 出设备上保存的登录凭证，就可以实现你网站登录凭证复制到其他设备了

验证证书需要 metadata ，不过里面有几百个通过认证的设备，所以你服务器验证证书挺费时间，证书会在设备 authenticatorMakeCredential 后返回给你的服务器

苹果是验证证书的，github 和 google 是忽略这一步的
当然 passkeys 的验证设备是用户选择的，客户可以选择开源方案或者花钱买一个有认证的设备

设备认证的 metadata 下载地址：
https://fidoalliance.org/metadata

我的开源 passkeys 实现项目
https://github.com/jocover/esp32_u2f

@raw0xff
一般而言，锁屏密码是仅限本人知道的情报。而且如果锁屏密码泄露，那不使用 Passkey 而是使用密码管理器（或者浏览器的记住功能）保存密码，一样会泄露，一样不安全。
所以并不认为在锁屏密码会为第三者所知晓的前提下，Passkey 比其他密码管理器保存的方式更不安全。

@raw0xff "所以只要知道锁屏密码就能登录凭证，感觉不安全"，这句话是错的，passkeys 在安全设备上至少是需要一个生物识别或者 PIN ，并不是只需要锁屏密码，而且这个 PIN 是有尝试次数到了次数就无法使用。
passkeys 作为互联网巨头联合推出的新一代登录解决方案，至少不会有明显的安全问题，只可能存在一些不安全的实践。

@jiagm 明白了。记得以前看过一篇文章说有人“破解”了人脸识别，拿对方照片贴在眼镜上就能通过，当然也有一些技巧，安卓手机大部分都能过。不知道现在情况怎样。当然作为开发者一定是更愿意用公私钥方式，因为不用担心私钥的安全，只需要管理好凭证即可。

@cccer 我在自己手机上等待人脸识别失败后可以用 pin 登录，不清楚你说的“错”在哪里？

Esp32 再加个 rfid 模块就能在线授权门禁，nfc 识别，淘汰 ic id 卡啦

@jocover

Passkey 太好用了，国内的网站不会跟进吧

@raw0xff 上面已经说了吗、，至少一个生物识别或者 PIN ，PIN 并不等于密码，是绑定设备的限次数的令牌。
PIN 任何时候都不能告诉别人，而且因为有限制次数无法遍历。

@BwNVlwSq 🐔手机号关联塞广告，肯定不会跟进

国内喜欢搞手机号一键登录，然后广告电话短信就来了

@BwNVlwSq #15 国内还在研究手机一键登录。

话说 passkey 在手机上有支持吗