如果手机丢了,里面的 Passkey 通行密钥怎么办?

54 天前
 moudy
给新手机登陆微信时提示支持创建 passkey 通行密钥,可以免去登陆验证 blahblah 。

到微信的文档里看了一下,完全没提将来换手机或手机丢了该怎么办。放在以前手机丢了,可以短信登陆。是不是开启 passkey 后手机丢了,就只能走严格的挂失流程了?感觉麻烦程度上升一个数量级。

现在似乎主要网站都在推荐换到 passkey 登陆,但是并没有一个统一的流程来说明,如果 passkey 丢了该怎么办。有的是给一个巨长的恢复 key 让你记在什么地方,说实话此法巨扯淡,也就企业 IT 部门能有合格的 recovery key 管理,根本就不应该给普通消费者使用。有的怕是要走忘记密码的流程了。

然后同品牌换手机一般还好说,可以还原密码本。跨品牌换手机似乎如何传递 passkey 就不知道了。原则上 passkey 一经创建就不应该离开设备。品牌不一样的话就没有传递 passkey 的统一标准了吧?
4082 次点击
所在节点    信息安全
36 条回复
iyeatse
54 天前
passkey 存在 icloud 里的
butanediol2d
54 天前
感觉大部分支持 Passkey 的网站,都允许用户添加多个 Passkey ,可以多个设备存储不同的 Passkey ,但是微信只能添加一个,丢了好像就是丢了。

如果是 iOS 设备上启用的微信 Passkey ,可以通过密码 app 导出,但是好像很多第三方密码管理器是不支持导入 Passkey 的(如果网站支持添加多个 Passkey ,也确实不需要导入功能)。
processzzp
53 天前
iOS 上的 passkey 保存在 iCloud Keychain 里面的,换机之后登录 iCloud 账号就自动同步回来了。除非你手贱去设置里面关闭了 keychain 同步,那我觉得是你自找的。

“给一个巨长的恢复 key 让你记在什么地方,说实话此法巨扯淡,也就企业 IT 部门能有合格的 recovery key 管理”
有个东西叫密码管理器,可以了解一下,给你推荐三个,排名不分先后
https://keepass.info
https://bitwarden.com
https://1password.com
moudy
53 天前
@processzzp #3 icloud 的这个我已经说了,同品牌一般问题不大。换安卓才是麻烦。

后面你贴的密码管理器就是我最不能理解的地方。

如果连 passkey 都能丢失,说明你的密码库已经灭了。把 recovery key 存在里面有什么用?

如果系统被穿透了,别人能接触你的 passkey ,把 recovery key 存在里面等于彻底缴枪投降。

如果说我给这些很少用到的 key 再加一层密码保护,那对普通用户来说,这个十年都不一定用一次的密码在真需要想起来的时候必然一脸懵逼。
zed1018
53 天前
我的 recoverykey 放 onedrive 的保险柜那个里面
misaka19000
53 天前
安卓怎么备份有人知道吗?
sunshower
53 天前
老实说,使用硬件存储的 passkey ,目前看来,使用体验是很差的
比如谷歌默认在安卓机里会绑定一个硬件型的 passkey ,我就完全没用,宁愿再生成一个 key 保存到 1p 里。

存储在密码管理器里,这种软件里的 passkey 还算正常
shakaraka
53 天前
1password 完美解决
yaoyaomoe
53 天前
@moudy 比如你用 keepass 存 recover key 之后同步在网盘。recovery key 和 passkey 不放在一个管理器就好了,比如用 ios 的 passkey ,用第三方密码管理器。passkey 丢失也是很常见的吧,尤其是用硬件设备的 passkey ,passkey 丢失与密码管理器没多大关系。
moudy
53 天前
@yaoyao1128 明白了,就是分两个库,一个日常库,另外一个恢复库。恢复库四处备份,库密码自己掌握。日常库储存 passkey 。

这个倒是很工整易用。不过我还是觉得超越了一般消费者能力了。尤其像我前面说的,这个恢复库可能十年都用不了一次。平常输入库密码最大可能性是往库里加新的恢复 key
msg7086
53 天前
Passkey 丢失为什么等于密码库灭了?
为什么 Recovery key 存在里面等于投降?
为什么十年都不一定用一次的密码会一脸懵逼?

这是我不理解的地方,为什么你会产生这些奇怪的或者说错误的疑问呢。
moudy
53 天前
@msg7086 你理解力确实够差的。
msg7086
53 天前
你现在的痛点是 Recovery key 管理。
坛友的推荐是 Recovery key 可以存在密码管理器里。
如果你不是天天丢手机,那你就不需要天天取 Recovery key ,那你存 Key 的密码管理器就不需要随身携带。
同理你密码管理器的全局加密密码也可以简单写下来放在抽屉里或者存在哪个 U 盘上。
所以为什么你会问出上面的疑问呢。
popzuk
53 天前
我之前看新闻说 iOS26 支持迁移 passkey ,另外据说这阵子 1password 可以迁移 passkey 到另一个账户了。前阵子没注册一个免费家庭版就是因为 passkey 不能迁移。现在可以的话,那就可以每年免费家庭版。
moudy
53 天前
@msg7086 这些都是我和前面 id 讨论完的事情。

前面说普通人突然被问一个十年不用一次的密码会懵逼,这事没什么不好理解的。你的方案是恢复库密码写下来收藏好。而我的经验是写下来藏在某个地方十年不忘本身就很有挑战性。尤其恢复 key 说到底比银行社保车本房本重要性差 n 个等级,注定一般人不会特别仔细的管理这玩意。我手里还有当年打印的 icloud 恢复密码,但是我真的不能确定这密码期间有没有被我更新过。十年之后你回看密码基本只能碰运气。

另外你说恢复库不随身携带,那你在外面用到一个新 app ,注册完账号被扔了一个 recover key 到脸上,让你立刻马上记住。而你手边没有恢复库,怎么办?
NIIIIIIIIIICE
53 天前
谁的密码管理器不能同步 Passkey ?下载回密码管理器后用密码管理器里的 Passkey 快捷登录不就好了。
moudy
53 天前
@NIIIIIIIIIICE 如果你用 icloud keychain 想换安卓手机,怎么搬家?用第三方 keychain 还把 passkey 同步上云的也不存在丢失 passkey 的问题,但是这根宣传的 passkey 不会离开硬件差的有点远。也就等于一个机器自动生成的强密码了
weazord
53 天前
@moudy

passkey 按设计本来就是可以离开硬件的, 安全性不如那些 physical security keys (如果一定要物理硬件的话,需要注册的时候去读 FIDO MDS

> 也就等于一个机器自动生成的强密码了

还是稍微好一点,但确实比较有限,比如 passkey 本身按实现就需要绑定域名的, 所以天然就防钓鱼
digwow
53 天前
可以用密码管理器记住,例如用 bitwarden
dfdd1811
53 天前
别用就得了,我只有币安用了 passkey ,之前好奇是不是不用密钥登不上,人家让我用传统方式邮箱 otp 校验也能登录

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1148585

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX