看了 V2 这么多密码讨论贴，心中只有一个想法：究竟什么时候能把密码给淘汰了？

对于非专业用户，手机号+验证码还是最方便，国内还能顺便落实实名制。毕竟来一句密码忘了/验证器删了/Key 掉了还得用其他方法来验证。
对于专业用户，Yubikey 这种推广的麻烦点还是在于成本，基于设备本身安全芯片的 Passkey 可能会应用更广。

passkey 挺好的，但是国内特色安全体系下估计是推不开的。

把密码淘汰了，按国内的尿性，绝壁会让你全部人脸的。

你们推崇的一切比密码更安全的方式都是基于用户记不住密码这个前提的，对于我来说最安全的就是每个网站设置不同的密码并且靠脑子记住

钢筋：你的 passkey 存储就安全了？苹果不会查看你的 passkey ？


说点现实的，passkey 之后还是要拿 token ，偷 cookie 不可避免

据我的观察，上点年纪特别文化不太高的人对密码这个概念是非常抵触的，连银行卡的六位数字密码都不想要。有些老人在 ATM 取钱的时候会口述让银行工作人员帮他输密码，但工作人员因为规定不能这样做，有时候还能见到他们吵起来。

网龄长点的年轻人好一些，但他们使用的密码依然非常简单，更不必提什么不同网站不同密码或者定期轮换密码了。即使是技术人员，不关注这些事的也不在少数，能用 Chrome 自带密码本保存密码已经胜过很多人。

所以取代密码的新方式对他们而言肯定是有进步意义的。国际通用的 TOTP 和 WebAuthn 这些协议和实名制并不冲突，国内服务不用就是因为大厂垄断心态作祟，外加「这个东西可能有人不会用」的产品思维惯性。

@maggch97 现阶段最安全的方法就是只用 iPad 和 iPhone ，只用 Safari

手机验证的，出国就寄了。没有国际漫游直接收不到短信。

其实最好的办法就是将 chrome 那一套域名密码本和各类型软件、手机 app 整合起来，共用一套密码管理系统，不同应用自动生成随机强密码。

@BrokenPipe keepass

手机验证码登陆，最大的不安全是你手机号换了怎么办？

你不可能把所有的账号都改一遍手机号，总有那些不常用的不再用的会漏掉没改，甚至有的都不支持改号。然后捡到你手机号的人就好像看到你裸体一样了。

passkey 是不可能在国内推广的。现在用帐号密码登录的 app 都很少，大部分强制手机验证码了，被风控还要人脸或者身份证。

@BrokenPipe iOS 就是这样

学学 supercell 没有密码， 只有验证码，自己保证自己的安全性。

国内巴不得不要密码，通通要指纹，手机号，人脸识别，掌纹，免密，虹膜，进行登录和付款。

@LanhuaMa 好！

@maggch97 苹果 PassKey 的问题是只能在自家平台使用，其他设备做不到共通互用。

这是一个很有趣的问题，发散开来有很多可以讨论的，我想到了一些点，内容比较多，结论是短信验证可能是现阶段最自然、成本最低的一种方案。

十年前人们可能并不会提出「为什么要搞这么多密码」这样的问题，因为那个时候网站也好移动 App 也好并不像今天这么丰富，而且用户的安全意识可能也并没有今天这么强，基本上都是一套账号密码走天下，在账号密码方面基本没啥痛点。

十年后的今天各种网站、移动 App 以及很多新兴模式的在线服务可以说数不胜数，琳琅满目，基本上人们的衣食住行日常生活都离不开在线服务，与此同时用户的安全意识也在增强，不会再使用同一套账户密码去注册所有的服务，这就带来一个现实问题，应该如何记住这些账户密码？可能有的人会用一个电子笔记本记下所有账户，也有的人设置的密码是有一定变换规则，还有人使用软件帮忙管理密码，但上述方案也各有各的问题不够完美。

提出为什么要搞这么多密码这一问题之前，让我们回头想想人们到底为什么需要密码，根本目的在于人们需要在使用服务之前证明我是我。想要证明我是我看上去很荒谬，但如果想做到绝对意义上的证明实际上是一件很困难的事，你必须依靠一些你以外的东西反过来证明你自己，不扯那么远我们只讨论现实可行的方案，之所以需要用到密码，这背后默认的前提是别人不知道我的密码，知道这个密码的一定是我。那么如果不想要密码，又想证明我是我，那是否可以找一个只有我知道而别人不知道的东西呢？

如果按这个思路去想，目前国内主流的手机短信验证码其实是最自然的一种方案：
随着移动互联网的爆发，手机已经成了人的延伸，是现实世界与虚拟世界之间的 socket ，现实与虚拟就是通过这一块小小的玻璃板双向通信，换句话说在虚拟世界里，你的手机就是你，手机短信也只有你自己知道。

这里并不是吹捧短信验证，我知道这背后还有实名制和审查的考虑，但从事实出发短信验证就是目前最自然的方案，这个自然指的是对用户、服务提供商、监管这三方的需求都能满足且不需要花很大成本。

虽然短信验证是一个比较自然的方案，但却不是一个完美的方案，如果别人拿到了我的手机卡那我就成了替身了。回到问题的本质，证明我是我更进一步的方案是生物识别，例如指纹、面容、虹膜等等，虽然这个方案比短信验证更接近问题本质，但却隐含了另一个问题，既隐私问题。可能会有人有这种顾虑：录入了面容之后我的信息会不会被滥用？会不会被出卖？有多少人愿意承担可能存在的隐私风险，来换取理论上更进一步的账户安全呢？这就好像在做架构中的 trade-off ，系统的可用性和一致性没办法既要又要，只能是牺牲一点这边从而换来提升一点那边。

那么假如有一个绝对权威公正的认证服务呢？人们只要在这里录入生物特征，之后所有的在线服务都接入到这个认证服务中验证用户身份，倒也不是没可能，SSL 证书颁发机构不就是这种形式吗，通过证书验证网站是不是真正的网站。
但方案理论可行实际上很难推广，确切的是没有动力推广，毕竟服务提供商也乐见用户使用手机号登录，毕竟有了手机号还可以做很多营销或者召回策略。
那为什么 CA 证书颁发的模式就可以推广下来呢？也是成本问题，因为早期的电商钓鱼网站和中间人给交易双方带来的损失大于成立一套 CA 认证的成本。
同样的道理在如何登录这件事上，用户属于弱势的一方，除非用户和服务商的利益受到的损失超过了建立一套新的认证体系的成本，否则很难推动，而现阶段短信验证码就是最自然可行、成本最低的一种方案。

搭個 oauth 服務器很簡單，只要自己擁有域名，可以讓所有其他網站來自己域名上認證

手机号+人脸识别最方便靠谱，普通网站其实安全要求没那么高，换手机号了用注册邮箱改就行了。遇到过好多小网站还要求密码复杂度必须含大小写数字和特殊字符和长度限制，每次注册我就觉得是钓鱼我密码的…