passkey是未来的趋势，未来已来，只是尚未流行。在更多公司提供passkey之前，我们都还得继续使用密码。

有一天，我醒来后决定全力以赴地投入到passkey的事情上。

我知道这是不可能的。但我还是想试试看。我想看看我能走多远。

然而，我的梦想很快被粉碎了。

在2023年，完全依赖passkey是不可能的。

原因让我很惊讶。

过去两年，我被passkey一次又一次令人惊叹的消息冲昏了头脑。这些宣传炒作是真实的，在FIDO联盟和其他人经过十年甚至更长时间的努力后，我们取得了巨大的进展。然而，我们还有很长的路要走。

为什么呢？

问题不在技术上。大多数客户身份管理平台已经支持passkey。也不是平台支持的问题。苹果、谷歌及微软，他们的浏览器和主要密码管理器都已经加入了。消费者需求也不是问题。

挑战出奇地严峻：在更多公司为用户提供passkey之前，我们都必须一直使用密码。

推动passkey采用的实验让我清楚地意识到，可用性是限制因素。

以下是我的故事。

我实施passkey的日子：糟糕透顶

我想要亲身体验所有与passkey有关的、好的和坏的事物，就像一个普通人今天尝试采用它们那样。充满热情、雄心勃勃，稍微有些天真的我从一个务实的计划开始：清点我的账户，按风险级别分类它们，并为高风险应用程序实施passkey。

这似乎可以实现。我已经花了一万个小时来规划、设计和执行身份实施项目。我决定为自己做与为财富500强客户一样的事情。

盘点我的账户很容易，因为我坚决使用密码管理器。将我的账户快速导出到电子表格是一个完美的起点。

有了账户清单后，我就像前四大安全顾问一样，对它们进行了简单的风险分类：

• 高：该应用程序直接包含财产信息或个人身份信息（PII）。

• 中等：该应用程序不包含财产或个人身份信息，但如果遭到破坏，可能会造成重大的财产、知识产权或声誉损失。

• 低：如果被攻击，该应用的影响有限。

我的前任老板们一定会感到非常自豪。手握着漂亮的咨询分析，我踏上了实施passkey的旅程。

太好了，让我们为高风险应用启用passkey吧！

[...开始逐一处理列表...]

"啊, $&^%." 

用企业网络安全从业者的思维方式来思考，是一个错误。我以为高风险应用更有可能支持passkey。我错了！

风险和passkey支持之间的相关性很低。可以使用passkey的应用程序分散在我的高、中、低风险类别中。我没有找到任何规律，以及为何如此的原因。都是随机的。

成功！算...是吧。

经过快速整理，我决定从1Password的Passkeys.directory索引开始逆向工作。这种方法更容易，因为在目录中列出的任何我使用的应用程序，都应该对passkeys有完全或部分支持。

这个计划算是奏效。我在目录中找到了我使用的应用程序，并开始为它们启用passkey。成功！

直到，我弄完了所有的应用。

很快。

我使用了374个应用程序（我知道，太多了）。其中有17个支持passkey。17个！这意味着我现在使用的应用程序中，有95%尚未支持passkey。

这就是失望的开始。

我们经常讨论消费者是否会采用passkey。这不是问题所在。我想采用passkey。如果可以的话，我会在我所有的应用程序中都采用passkey。

作为一个消费者，这种情况完全超出了我的控制范围。看不到出路，让人感到无助。

路在何方？

如果说我的passkey实验是一场马拉松，那我才只跑了1英里就不得不停下来，因为剩下的25.2英里的赛道甚至还没有建好。我停下来并不是因为我缺乏完成的技能或者意愿，而是因为实在没有办法继续下去。

我仍然很难理解，为什么公司们不加速采用一个解决安全问题的解决方案。就好像我们找到了治愈癌症的方法，他们却说：“不用了，我愿意冒险与癌症共存。”当然，安全问题与癌症相比规模较小，但passkey的潜在影响是深远的。

对于一个喜欢争论和辩论的行业来说，关于摆脱密码的需求以及解决方案几乎没有争议。密码很麻烦，而passkey是解决之道。为什么我们不给大家一个使用passkey的机会呢？！

你知道，当他们说“未来已来，只是尚未流行”时是什么意思吗？这正是我们使用passkey时的状态。我们离摆脱密码还有很长很长的路要走。

前进的道路是曲折的。更多的公司必须为他们的客户提供passkey。没有其他解决办法。不过，还有一线希望。

一线希望：Shopify和1Password

如果你眯起眼睛，像我一样迈出一些小而切实可行的步伐，你就能看到安全的未来。我保证，很美妙。

当一个应用程序将密码作为一等公民来实现时，体验很惊艳。用Steve Jobs的名言来说，“它就是好用”。

不用四处寻找，就用Shopify的Shop Pay应用程序（消费者版本，而不是网店）。真的，试试看。转到您的帐户页面，添加一个密码，然后就完成了。

这个经验正是我所说的“作为一等公民的passkey”。你实际上没有密码。没有繁琐的密码和passkey的混合体（我该用哪个？！）或者passkey作为第二因素。启用passkey的步骤如此清晰，你甚至都不需要操作说明。丝滑！

使用1Password来管理您的密码，体验更极致。您不想丢失密码。您不想为每个设备创建一个新密码。您也不想陷入像苹果、谷歌或微软这样的平台中无法退出。在1Password中存储和同步您的密码是一个秘籍。

我希望Shopify和1Password不只是一线希望。事实是我们还原地不动。让这两个例子成为安全性的榜样，如果其他公司能够采用passkey，那么安全性的可能性将变得更大。

在那之前，我们依然深陷密码之中。

---

相关链接：

https://strategyofsecurity.com/why-were-stuck-with-passwords/

最强搜索引擎上线

往期回顾

深度｜云安全市场为何如此独特？

起底五大不为人知的网络安全黑帮｜这个中国帮派你或许认识

下一个网安大赛道正在形成｜接连两次资本大动作

关注「安全喵喵站」，后台回复关键词【报告】，即可获取网安行业研究报告精彩内容合集：

《网安供应链厂商成分分析及国产化替代指南》，《网安新兴赛道厂商速查指南》，《2023中国威胁情报订阅市场分析报告》，《网安初创天使投资态势报告》，《全球网络安全创业加速器调研报告》，《网安创业生态图》，《網安新興賽道廠商速查指南·港澳版》，《台湾资安市场地图》，《全球网络安全全景图》，《全球独角兽俱乐部行业全景图》，《全球网络安全创业生态图》

话题讨论，内容投稿，报告沟通，商务合作等，请联系喵喵 [email protected]。

点击阅读原文，体验网安最强搜索引擎

原文始发于微信公众号（安全喵喵站）：为何我们依然深陷密码困境？｜灵魂吐槽