Back

@TCMZ 长毛象义不帝秦

@duncan1n1 @TCMZ 可以很确定地说：是的，就是这样。 还有一种更加恶心人的做法，输入账号密码，过人机验证，收验证码，最后弹出一个“当前登陆环境存在风险，请使用手机扫码登录”

@ARK_Eugen @TCMZ 没有智能机的人别活了。

在英国谁家要是搞这么个东西出来，一定会有好多用户投诉对老年人不友好。毕竟英国很多老年人还在用座机和非智能机。甚至银行为了这些用户还要单独提供不依赖手机的验证途径，比如物理的读卡器或密码器。

@TCMZ @duncan1n1 现有的国产app预设前提便是会用智能手机且会操作软件。尽管有部分个人和组织志愿对老年人进行智能手机教学。但私以为二维码作为通用工具本身就有争议，登录应当使用通行密钥（passkey），支付应当使用NFC POS，这才是对于老年人和普通民众来讲较好的行为方式。

@ARK_Eugen 其实，我当时就是在网页登了一下豆瓣，查一个书的目次，然后被搜了这些身。我手机豆瓣已经卸载了，只能用短信验证码，登出来不是我原来的大号，是一个我都不记得的小号。豆瓣是什么国家机密平台吗。

@duncan1n1 @TCMZ 对于密码管理器我持有保留意见，近些年基于云端的密码保管库被非法访问的案例有所增加，如果是本地或个人搭建的密码保管库，便利性和稳定性可能会有所影响。自动填表每个网站的实现实在是五花八门，我就暂且略过了。

@ARK_Eugen @TCMZ 我知道的最严重的密码管理器遭黑客入侵事件发生在lastpass上，泄漏的是用户的邮箱、用户名和网址等信息，并不包括密码，因为密码是在用户的设备上加密以后再上传到云端的。

另外，不要以为passkey对此类攻击免疫。很多passkey的实现也是把信息存储在云端的，包括但不限于Google和苹果，都是这样做的。

@duncan1n1 @TCMZ 相对于苹果和谷歌这种零信任或端对端的认证加密，我觉得第三方的安全性还是要稍弱一些。毕竟第三方密码保管库在设备上仍然需要借助设备其本身的生物或密码认证，不过跨设备passkey认证确实比较头疼。或许在设备上显示登陆验证也是一种方法。

@ARK_Eugen @TCMZ 可是，什么是第三方？对于一个用苹果设备的人来说，Google是第三方。而对于用Android设备的人来说，苹果是第三方。

所以第三方安全性不如平台提供的服务这一说法是站不住脚的。真正的关键在于具体实现，而不是由谁提供。

密码管理器也完全可以做到服务提供商只存储你的密码管理器账户登录信息和本地加密后上传的vault，不需要知道vault里面都存了什么。

就目前的情况来看，选一个好的密码管理器比选一个好的passkey容易。

密码管理器产品市场很成熟，用户的选择范围很广，也很容易找到各方面都没问题的产品。

而passkey市场非常不成熟，用户不得不在安全性、隐私性、易用性、通用形等方面作出权衡的选择，没有一个各方面都十全十美的选项。

@duncan1n1 我在我的POST中反复提到了“设备”，简单来说可接触到的实体可以视为第一方，例如Windows电脑加Android手机加iPad平板都可以视作第一方，这也是2FA的设计原理之一。目前市场活跃的密码管理器尚未有一家完全乐意用户或签署DMA协议的个体进行安全审计，我们无法完全清楚它们是如何运作的。传统密码由于没有一个统一的标准进行实现，以至于会出现限制特殊字符或密码长度，以此密码举例："P£|²ÜýÊ6uczæ1oJO#Ä3ü)ÜqÅ"，部分网站完全无法使用。Passkey的出现确定了一个认证强度标准，你所提到的密码管理器商也很乐意跟进，很多此类产品也提供passkey登陆，这也是我为什么说更加适合普通人的原因。