告别密码？谷歌“密钥”初体验

你可能听说过，谷歌账户现在可以“无密码”登录了。这个替代密码的新东西，叫做“密钥”。它听起来有点未来感，但我的理解是，它其实是想让登录变得更简单、更安全。虽然整个“密钥”生态系统还在建设中，但谷歌的版本已经可以实际使用了。这篇文章，我就结合自己的尝试，聊聊它是什么、怎么用，以及它到底带来了哪些改变。

密钥是什么：一把更安全的“数字钥匙”

简单来说，密钥是一种用来替代传统密码的登录方式。它基于一套叫WebAuthn的技术标准，核心原理是“公钥加密”。

• 如何工作：当你为一个账户（比如谷歌账户）创建密钥时，你的设备（比如手机或电脑）会生成一对独一无二的、数学上关联的加密密钥。一把是“公钥”，会发送并存储在谷歌的服务器上；另一把是“私钥”，则安全地留在你的设备里，永远不会离开。
• 登录过程：下次登录时，网站（谷歌）会用你留下的公钥出一个数学题，只有你设备里的私钥能解开。你通过指纹、面部识别或设备解锁密码来授权使用这把私钥，从而完成验证。整个过程，你的私钥和生物信息都不会传给谷歌。
• 主要优势：这种方式从根本上避免了“钓鱼攻击”（因为攻击者无法骗取你的私钥），也无需记忆复杂密码。正如原文引用的，“这使得密钥非常强大，易于使用，具有高度的网络钓鱼抵抗能力。”

初次设置：不同设备，不同路径

我尝试在几个不同设备上为谷歌账户设置密钥，发现过程因平台而异，这反映了目前生态的碎片化现状。

• 安卓设备：对于像Pixel 7这样的安卓手机，如果已经登录了谷歌账户，系统可能会自动为你创建一个密钥，无需手动操作。你可以在谷歌账户的安全设置页面（g.co/passkeys）找到它。
• 苹果设备：在iPhone或Mac的Safari浏览器中访问上述页面，可以手动“创建密钥”。创建后，密钥会通过iCloud钥匙串在登录同一Apple ID的设备间自动同步。不过需要注意的是，目前在苹果设备上，Chrome和Edge浏览器创建的密钥还无法这样同步。
• 跨平台登录：如果你在一台新设备（比如朋友的电脑）上登录，可以选择“使用密钥”，然后扫描屏幕上出现的二维码，用你随身携带的、已存有密钥的手机（安卓或苹果均可）来完成认证。这个过程需要两部设备通过蓝牙短暂连接，二维码用过即废，确保了安全。

安全与隐私：真的更可靠吗？

密钥在安全设计上确实比传统密码（甚至加上短信验证码）更进了一步。

• 防钓鱼与防窃取：由于登录依赖设备本地的私钥，而私钥无法被诱骗出来，也难以从设备中提取，因此能有效抵御常见的网络钓鱼和远程攻击。
• 内置多重验证：使用密钥时，你通常需要同时具备“某物”（你的设备）和“所知/所是”（设备解锁密码或生物特征），这相当于自动集成了两步验证（2FA）。
• 关于隐私的担忧：有人担心把密钥交给苹果、谷歌等公司同步会泄露隐私。根据技术规范，同步过程是端到端加密的，云服务商无法解密或使用你的密钥。生物识别信息也始终只留在设备本地进行处理。

当然，目前并非所有场景都完美。例如，在ChromeOS和Linux上支持还不完善，不同浏览器间的同步也有隔阂。但这些都是生态发展中的暂时性问题。

当前局限与未来展望

尽管谷歌的实施方案已经可用，但我们必须认识到，“无密码世界”还远未完全到来。

• 平台覆盖不全：如前所述，在ChromeOS、Linux以及部分浏览器（如macOS上的Firefox）上，使用密钥还不太方便或不可用。
• 生态系统待完善：目前只有谷歌、PayPal等少数几家大公司提供了完善的密钥登录支持。要真正告别密码，还需要成千上万的网站和应用跟进。
• 用户习惯转变：从记忆密码