看了 V2 这么多密码讨论贴,心中只有一个想法:究竟什么时候能把密码给淘汰了?

219 天前
 flyhaozi

大家有没有什么更好的见解,通行密钥 Passkey 或者 Yubikey 是不是相对来说更安全,实现起来麻烦吗?

另外是不是国内 App 常用的这种手机号+验证码,并且不设密码的方式反而在安全性上更好?

参考:

4154 次点击
所在节点    程序员
35 条回复
cmdOptionKana
219 天前
我只相信密码,非常讨厌各种取代密码的方式。

密钥 Passkey 或者 Yubikey 本质上也是密码而已。

手机号+验证码非常恶心,增加了一大堆被攻破的点,同时还搞得手机号码被绑架,换号成本奇高无比。
cmdOptionKana
219 天前
@orioleq 安全要求不高的网站,输入密码本身就是个极低频的操作,一般都是长期免输入密码的,对于一个极低频操作,我认为各种方式差别都不大。
leonshaw
219 天前
在 MFA 里是不同的因素,passkey, OTP 和短信都属于 "something you have", 密码属于 "something you know", 生物信息属于 "who you are".
crackidz
219 天前
Passkey 是一个对用户理解成本非常高的方式,除非你的用户群体技术 Nerd 为主,否则上这玩意的教育成本和客诉成本会非常高。当然,给这么一个选项倒是无所谓,但是这肯定是 todo list 里非常靠后的 feature 了。
billgong
219 天前
@fkdtz x509 client certificate 就是搞这个的,软件版一些银行签发客户端证书的网银,硬件版比如 DoD CAC 或欧盟身份证,都是这样的。最大的问题是你怎么强推这种中心化的认证体系。
flyqie
219 天前
密码是唯一一个最低成本、最好兼容性、最低依赖的方案。

至于安全性,实际上是把这个选择权交给了人。
flyqie
219 天前
@flyqie #26

而且密码也是人类社会长期存在并使用的一种基础认证方式,所以淘汰我觉得是不可能的。
lin7946
219 天前
生物特征的不可变性,这东西就很不安全,不然被人破译了,你甚至都没办法改(试过大半夜在跟盗号的不停在改密码对抗
TimPeake
219 天前
电子产品都上生物密码识别就好了
busterian
219 天前
我觉得最方便的还是自动填充+指纹登录,密码库云同步就行了(我是因为这个才知道 onedrive 手机端不支持共享本地文件夹的)
ltkun
218 天前
@gransh 你这是爱因斯坦的脑子吗?几百个网站哈
LokiSharp
218 天前
有没有可能,你说的解决方案都只是隐藏的密码?
K2
218 天前
看了 Google one 暗网监控泄漏的密码记录,还是需求一种可以无视泄漏的方式。
gransh
218 天前
@ltkun 自编一套算法啊,用的时候算一下
gransh
218 天前
@ltkun 不过辣鸡小网站还是一码通

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1043413

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX