「通行密钥」设计问题讨论

2023-06-21 08:21:56 +08:00
 airbotgo
使用币安 app 时,会频繁弹窗提醒用户开通「通行密钥」,开通方法:
邮箱 & 短信 & Authenticator 同时验证通过,则可以开启币安 app 的指纹解锁(每次打开 app 会锁屏,此时指纹可解锁)。

询问客服,在什么情况下会导致「通行密钥」不可用,大致有:
1 )手机系统版本变化(视检测情况);
2 )手机主要硬件维修(例如修主板、硬盘扩容);
3 )更换手机;

在开启「通行密钥」的情况下,邮箱、短信、Authenticator 验证均会被屏蔽(无法通过这些验证方式关闭「通行密钥」设置)。
如果用户「通行密钥」不可用,解锁币安 app 登陆的唯一方法:给客服提供「手持身份证视频」。客服验证后关闭「通行密钥」设置。

我的疑问:
1 、邮箱 & 短信 & Authenticator 同时验证的安全性是否足够高,有没有必要频繁引导用户开启「通行密钥」?
2 、开启「通行密钥」后屏蔽邮箱、短信、Authenticator 验证是否合理?
3 、解除「通行密钥」的唯一途径是给客服提供「手持身份证视频」的要求是否合理?
4 、在币安已经掌握了你的基本身份信息(例如身份证 /护照照片、人脸视频)之后,你是否愿意继续提供「手持身份证视频」?
1311 次点击
所在节点    问与答
3 条回复
dingwen07
2023-06-21 09:17:20 +08:00
理论上通行密钥会通过 iCloud 钥匙串 /Google 密码管理器保存,你添加之后如果在 iOS 和安卓的密码管理器里能看到就是了
这种通行密钥就可以换任意设备登陆了,也可以浏览器扫码登录

另外一种是只保存在手机 TPM 上,这种不会被同步所以客服说的这种情况会出现,这个严格意义上不算 passkeys

要具体看网站用的是哪种
airbotgo
2023-06-21 09:36:49 +08:00
@dingwen07 感谢科普!
chengYT
2023-08-16 17:20:19 +08:00
感觉 iPhone 的通行密钥支持当前是有问题的,如果你需要在非苹果设备登录需要 passkey 的网站,它会要求你扫二维码来提供 passkey ,我扫码后 iPhone 从来没有实现过成功的连接与验证。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/950502

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX