看了 V2 这么多密码讨论贴，心中只有一个想法：究竟什么时候能把密码给淘汰了？

大家有没有什么更好的见解，通行密钥 Passkey 或者 Yubikey 是不是相对来说更安全，实现起来麻烦吗？

另外是不是国内 App 常用的这种手机号+验证码，并且不设密码的方式反而在安全性上更好？

参考：

cmdOptionKana

35 天前

我只相信密码，非常讨厌各种取代密码的方式。

密钥 Passkey 或者 Yubikey 本质上也是密码而已。

手机号+验证码非常恶心，增加了一大堆被攻破的点，同时还搞得手机号码被绑架，换号成本奇高无比。

cmdOptionKana

35 天前

@orioleq 安全要求不高的网站，输入密码本身就是个极低频的操作，一般都是长期免输入密码的，对于一个极低频操作，我认为各种方式差别都不大。

leonshaw

35 天前

在 MFA 里是不同的因素，passkey, OTP 和短信都属于 "something you have", 密码属于 "something you know", 生物信息属于 "who you are".

crackidz

35 天前

Passkey 是一个对用户理解成本非常高的方式，除非你的用户群体技术 Nerd 为主，否则上这玩意的教育成本和客诉成本会非常高。当然，给这么一个选项倒是无所谓，但是这肯定是 todo list 里非常靠后的 feature 了。

billgong

35 天前

@fkdtz x509 client certificate 就是搞这个的，软件版一些银行签发客户端证书的网银，硬件版比如 DoD CAC 或欧盟身份证，都是这样的。最大的问题是你怎么强推这种中心化的认证体系。

flyqie

35 天前

密码是唯一一个最低成本、最好兼容性、最低依赖的方案。

至于安全性，实际上是把这个选择权交给了人。

flyqie

35 天前

@flyqie #26

而且密码也是人类社会长期存在并使用的一种基础认证方式，所以淘汰我觉得是不可能的。

lin7946

35 天前

生物特征的不可变性，这东西就很不安全，不然被人破译了，你甚至都没办法改（试过大半夜在跟盗号的不停在改密码对抗

busterian

35 天前

我觉得最方便的还是自动填充+指纹登录，密码库云同步就行了(我是因为这个才知道 onedrive 手机端不支持共享本地文件夹的)

35 天前

看了 Google one 暗网监控泄漏的密码记录，还是需求一种可以无视泄漏的方式。

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.