安全研究员 Scott Helme 做了一个很直接的网站:whynopasskeys.com。
它不讲复杂概念,只做一件事:把仍未向用户提供 passkey 登录支持的主流网站列出来。按这个网站的说法,全球热门网站中约 24% 还不支持 passkey。被点名的案例包括 Instagram、Netflix 和 Spotify。
这个数字不能外推成“全网四分之一网站都不支持”。它说的是热门网站里的情况。
但问题已经足够尖锐:当 Apple、Google、Microsoft 都把 passkey 推进系统和账户体验后,大平台还不给用户这个选项,算不算安全体验掉队?我更倾向于算。
被点名的不是小网站,而是用户每天都登录的平台
Helme 建这个站的目的很清楚:推动公司启用 passkey,让用户有机会使用更安全的登录方式。他的逻辑也很朴素,公开名单本身就是压力。没人愿意长期挂在“还没支持”的名单上。
目前能看到的对比,大致是这样:
| 平台/公司 | passkey 状态 | 对用户的影响 |
|---|---|---|
| Apple、Google、Microsoft | 已支持 | 用户可在系统账户或相关服务中启用更抗钓鱼的登录方式 |
| 有限制性例外 | 若账号绑定已启用 passkey 的 Facebook 账号,可通过这一路径使用;未绑定用户仍缺少直接选项 | |
| Netflix、Spotify | 被列为未支持案例 | 用户仍主要依赖密码等传统登录机制 |
Instagram 这里不能写成“完全不能用 passkey”。它有 Facebook 绑定这条例外路径。
但这也恰好说明问题:Meta 体系内并非完全没有能力做 passkey。真正的差别在于,Instagram 是否愿意把它做成用户自己的直接选项,而不是一条绕路。
TechCrunch 称,Meta、Netflix、Spotify 截至原文发稿时未立即回应置评请求。这只能说明暂时没有公开回应,不能写成拒绝回应,也不能写成承认问题。
passkey 的价值,是让偷密码这条路更难走
passkey 不是铜墙铁壁。安全产品里没有这种东西。
它的强处在于,把用户最容易出错的环节拿掉一部分。传统密码会被复用、泄露、撞库,也会被钓鱼页面诱导输入。短信验证码和一次性口令也可能被实时钓鱼截获。
passkey 通常基于设备生成,并与具体网站绑定。用户登录时,可以通过 Face ID、Touch ID、设备 PIN、实体安全密钥,或密码管理器完成验证。
这带来的变化很实际:攻击者更难远程复制凭据,也更难靠假网站骗到可用登录材料。它不是让攻击消失,而是把批量攻击的成本抬高。
对普通用户来说,影响很直接:
| 用户场景 | 有 passkey | 没有 passkey |
|---|---|---|
| 账号登录 | 少记密码,少输入敏感凭据 | 继续依赖密码、验证码或找回流程 |
| 遇到钓鱼页面 | 凭据更难被假站点拿走 | 密码和验证码更容易被诱导提交 |
| 多平台使用 | 可优先给高价值账号启用 | 更需要强密码和密码管理器兜底 |
所以普通用户能做的事并不复杂:能开 passkey 的服务,优先打开;不能开的服务,至少使用独立强密码和密码管理器,不要复用社交、流媒体、电商账户的密码。
对互联网产品和安全团队,压力更具体。passkey 不只是“安全功能”,也是登录体验、客服成本和盗号风险的组合问题。支持得越晚,用户被钓鱼、撞库、申诉找回的成本就越容易继续堆在平台和用户两边。
接下来要看原生支持,不是看有没有绕路方案
这份名单真正有用的地方,是把安全体验变成外部可见的产品指标。
以前,一个平台有没有推进更安全的登录方式,更多藏在内部排期里。现在,它会被放在公开页面上,和已经支持的公司摆在一起。尺短寸长,一眼能看见。
对普通用户,接下来可以观察两件事:自己常用的平台有没有开放 passkey;如果没有,是否至少给出清晰的安全选项,比如强制双重验证、密码管理器友好支持、异常登录提醒。
对产品和安全团队,动作也很明确:评估 passkey 的接入优先级,别只把它放在“以后再说”的安全愿望清单里。尤其是拥有大量个人账号的平台,缺席越久,越容易被用户和行业拿来比较。
这里也有现实约束。不同平台的账号体系、设备覆盖、找回流程、风控策略不一样,接入 passkey 不会只是开一个按钮。
但这不是无限期拖延的理由。更合理的观察点是:这些平台会不会给出原生支持,还是继续让用户靠绑定其他账号绕路。
回到 whynopasskeys.com 的那张名单,它的价值不在于羞辱谁,而在于把一个本该默认提供的安全选项摆到台面上。
当更安全的登录方式已经成熟,用户还在等大公司排期,这笔风险不该只让用户自己扛。