Google向20亿用户发出警告——密码时代终结,用“通行密钥”保护世界

Google向20亿用户发出警告——密码时代终结,用“通行密钥”保护世界

2025年06月22日 14:37

目录

  1. 什么是Passkey——与密码的决定性区别

  2. 160亿件泄露事件揭示的现实

  3. Google的“默认Passkey”战略

  4. 技术解说:FIDO2/WebAuthn的机制

  5. 全球的采用情况——Apple、Microsoft及主要网站的动向

  6. 用户视角:设置步骤和故障排除

  7. 企业和开发者:实施和运营的最佳实践

  8. 隐私和生物信息的安全性

  9. 全球问题与在发展中国家的展开

  10. 总结:密码后的未来图景


1. 什么是Passkey——与密码的决定性区别

Passkey是一种使用公钥加密的非对称认证凭证,用户端持有私钥,服务器端持有公钥。【私钥不会泄露到设备外】因此对钓鱼和重放攻击具有较强的抵抗力。

此外,由于可以通过指纹、面部识别、PIN等操作系统原生的解锁方式进行签名,没有记忆负担,用户体验速度快。根据Google的数据,登录速度比密码提高约40%。blog.google



2. 160亿件泄露事件揭示的现实

2025年6月,Cybernews调查发现30个巨大的数据集被曝光,总计160亿件ID和密码在黑市上流通。包括Google、Apple、Meta等多个服务中重复使用的凭证,专家警告称“相当于每个人类有2件认证信息泄露”。cbsnews.comm.economictimes.com



3. Google的“默认Passkey”战略

Google从2023年10月起在个人账户中默认启用Passkey,并计划在2025年6月将目标用户从2亿人迅速扩大到20亿人。“尽可能跳过密码”将默认开启,并可在Gmail、YouTube、Maps等各项服务中使用。

Google将“Passkey作为第一认证,密码为遗留”进行定位。blog.googlefidoalliance.org



4. 技术解说:FIDO2/WebAuthn 的机制

  • FIDO2: 客户端(CTAP2 支持设备)和平台(浏览器)之间进行公钥加密的交换。

  • WebAuthn API: 通过 JavaScript 调用的浏览器标准。在注册时将公钥发送到服务器,在认证时返回挑战签名。

  • 多因素 vs 多阶段: 密钥是“持有+生物”= MFA 的一步化。



5. 全球的引入状况──Apple、Microsoft、主要网站的动态

Apple 在 iOS 17 之后与 iCloud 钥匙串联动,Microsoft 提供 Windows Hello 作为 FIDO2 认证器。eBay、Uber、WhatsApp 也将在 2025 年之前完成密钥支持。各国政府门户和金融机构也在进行实证实验。



6. 用户视角:设置步骤和故障排除

  1. Google 账户 → 安全性 → 密钥 进行生成。

  2. Android 14 及以后、iOS 17 及以后自动同步。

  3. 旧设备使用 FIDO 安全密钥 (USB / NFC) 作为备份。

  4. 更换设备时,通过 iCloud 或 Google Password Manager 安全传输。

  5. 出现错误时,检查浏览器的 WebAuthn 设置和操作系统的生物认证注册。



7. 企业・开发者向:实施和运用的最佳实践

  • 以 WebAuthn Level 3 draft 为基础 resident key 为必需。

  • 使用配置 API 即使用户丢失设备也能恢复。

  • 设计“仅密钥”、“密钥+OTP”等分阶段迁移。

  • 在日志审计中加入“webauthn-signature-counter”,检测重复使用的密钥。



8. 隐私和生物信息的安全性

密钥不将生物数据本身发送到服务器。操作系统在本地进行匹配,仅返回合格标志,因此指纹或面部图像不会留在云端。个人信息保护法规(GDPR、CCPA、修订后的个人信息保护法)也易于适应。



9. 全球课题与发展中国家的推广

在廉价的 Android Go 设备和公共 PC 上,生物传感器往往未安装。在这种情况下,需要结合使用 PIN 和安全密钥或使用 SMS OTP 作为后备。FIDO Alliance 报道称,计划在 2025 年发布 “Passkey Lite” 规范(针对低性能设备的轻量实现)。



10. 总结:密码后的未来图景

  • 短期:主要 Web 服务将强制使用通行密钥,密码作为备用手段。

  • 中期:配备硬件安全模块 (TPM) 的设备将标准化。

  • 长期:结合分布式 ID(DID),发展为“自我主权型”的认证基础设施。


    Google 的警告标志着以密码为中心的 30 年惯例的终结。全球的网络用户现在是采取行动的时候了。


参考文章列表

  • CBS News「16 billion login credentials from Google and other sites leaked online」(2025-06-20) cbsnews.com

  • The Economic Times「How to secure your Google account after the 16 billion passwords leaked」(2025-06-20) m.economictimes.com

  • Google Official Blog「Passwordless by default: Make the switch to passkeys」(2023-10-10) blog.google

  • MSN/FIDO Alliance「Google Pushes 2 Billion Gmail Users to Adopt Passkeys Over Passwords」(2025-06-17) fidoalliance.org

← 返回文章列表