将通行密钥(Passkeys)不仅用于登录认证,还用于通过 PRF 扩展加密用户数据(如备份和文档),正给用户带来巨大的资产丢失风险。由于用户通常将通行密钥视为简单的“登录工具”,一旦在清理凭据时误删,与之绑定的加密数据将因失去密钥而永久无法恢复。文章呼吁行业停止将通行密钥用于数据加密,回归其抗钓鱼认证的本职功能,并要求服务商在涉及此类操作时提供明确的警告和说明。
核心矛盾:认证与加密的“功能超载”
通行密钥的设计初衷是替代密码进行身份验证。然而,当前许多组织开始利用其 PRF(伪随机函数)扩展 来派生加密密钥,用于保护备份、端到端加密数据甚至加密货币钱包。这种做法极大地扩大了凭据丢失的破坏半径。
- 身份验证: 证明“你是谁”,即便凭据丢了,通常可以通过手机号或邮箱找回账号。
- 数据加密: 决定“你能看到什么”,如果用于加密的密钥(通行密钥)丢了,数据将变成一堆乱码,没有任何补救措施。
认知断层:用户并不理解技术细节
普通用户(如文中的例子 Erika)在清理凭据管理器时,很可能会删除一个看起来不再需要的通行密钥。他们无法预见这个简单的操作会导致以下后果:
仅仅因为删除了一个登录凭据,用户可能会在一年后换新手机时发现,他们过去十年的照片、珍贵的视频或数字资产已经彻底消失,且永远无法找回。
目前的界面设计完全没有向用户强调:这个特定的通行密钥与你的数据生命线紧紧绑定。 用户不应该、也不可能被要求理解这种复杂的技术逻辑。
合理边界:凭据管理器是例外吗?
虽然反对用通行密钥加密通用数据,但作者认为在凭据管理器或操作系统中使用 PRF 是合理的。
- 多重保护: 凭据管理器通常拥有主密码、设备密钥、恢复密钥等多种找回机制。
- 非唯一性: 即使删除了用于快速解锁管理器的通行密钥,通常也不会导致整个保险库的数据永久丢失。
改进建议:各方的责任
为了防止用户因技术演进而遭遇“数字灾难”,相关行业需要采取行动:
- 身份认证行业: 停止推广将通行密钥用于加密用户数据。让它回归成为一个优秀的、抗钓鱼的认证工具。
- 凭据管理器(如 Apple、Google、Bitwarden): 当用户尝试删除带有 PRF 扩展的通行密钥时,必须弹出明确的警告,告知此举可能导致数据永久丢失。
- 使用该技术的服务商:
- 在支持页面详细说明通行密钥在认证之外的用途。
- 在用户启用此类功能时,提供尽可能直观的前置提醒。
- 利用标准化的 URL(如
prfUsageDetails)告知凭据管理器相关的风险信息。
核心洞见: 我们不能期望用户成为专家。如果一个系统的设计允许用户通过一个简单的“删除”按钮就无意中摧毁自己的一生积蓄或记忆,那么这个系统本身就是有缺陷的。