英国网络安全中心呼吁全面弃用密码，转向通行密钥

引言：密码时代正走向终结

长期以来，密码一直是我们保护在线账户的默认方式。然而，英国国家网络安全中心（NCSC）近日发出明确信号：是时候告别传统密码，全面拥抱通行密钥（Passkey）了。这一来自国家级网络安全机构的正式倡议，不仅意味着个人用户的登录习惯即将改变，更预示着整个数字身份认证体系将迎来一次深刻的范式转移。

NCSC在其最新发布的安全指南中明确指出，通行密钥是比传统密码「更好的选择」，并建议各类组织和个人用户尽快完成迁移。这一表态在全球网络安全领域引发了广泛关注和讨论。

核心：什么是通行密钥？它为何优于密码？

通行密钥（Passkey）是一种基于公钥加密技术的新型身份认证方式。与传统密码不同，通行密钥不需要用户记忆任何字符串，而是利用设备本身的生物识别功能（如指纹、面部识别）或设备PIN码来完成身份验证。

其工作原理并不复杂：当用户在某个网站或应用上创建通行密钥时，系统会生成一对加密密钥——公钥存储在服务提供商的服务器上，私钥则安全保存在用户的设备中。登录时，服务器发送一个验证请求，用户设备使用私钥进行签名响应，整个过程中敏感信息从未离开用户设备，也从未在网络上传输。

相比之下，传统密码面临着诸多根深蒂固的安全隐患：

• 易被窃取：钓鱼攻击、数据泄露等手段可以轻松获取用户密码
• 重复使用：大量用户在多个平台使用相同密码，一处泄露便处处危险
• 暴力破解：简单密码极易被自动化工具破解
• 管理负担：用户需要记忆大量复杂密码，体验极差

通行密钥从根本上解决了这些问题。由于私钥永远不会离开用户设备，即使服务器遭到入侵，攻击者获得的公钥也毫无用处。同时，通行密钥天然免疫钓鱼攻击，因为它与特定域名绑定，伪造网站根本无法触发正确的认证流程。

分析：全球科技巨头与AI安全的合力推动

事实上，NCSC的这一倡议并非孤立事件，而是全球范围内「去密码化」浪潮的重要组成部分。

早在2022年，苹果、谷歌和微软三大科技巨头就联合宣布支持FIDO联盟制定的通行密钥标准。如今，通行密钥已经在iOS、Android、Windows、macOS等主流操作系统上获得了原生支持。包括亚马逊、PayPal、GitHub、任天堂在内的众多知名平台也已陆续上线通行密钥登录功能。

值得注意的是，人工智能技术的飞速发展正在使传统密码面临前所未有的威胁。AI驱动的攻击工具能够以更高的效率实施钓鱼攻击、社会工程攻击以及密码破解。深度伪造技术的成熟更让基于知识问答的身份验证变得脆弱不堪。在这样的背景下，转向基于硬件和生物特征的通行密钥认证，实际上也是应对AI时代安全挑战的必然选择。

然而，通行密钥的全面普及仍面临一些现实障碍。首先是用户认知问题——许多人对「密码」的概念根深蒂固，对新技术存在天然的不信任和学习成本顾虑。其次是跨平台同步问题，尽管各大厂商都在努力改善，但不同生态系统之间的通行密钥迁移和同步体验仍有待提升。此外，部分老旧系统和小型网站对通行密钥的支持尚不完善，这也制约了其大规模推广。

NCSC此次公开表态的意义在于，它以国家级权威机构的身份为通行密钥「正名」，这将极大地推动企业和公共部门加速采纳这一技术。可以预见，更多国家的网络安全机构将会跟进类似建议。

展望：无密码未来正在加速到来

从更宏观的视角来看，通行密钥的推广是数字身份认证领域一次根本性的进化。从最初的简单密码，到双因素认证（2FA），再到如今的通行密钥，每一次迭代都在安全性和便捷性之间寻找更优的平衡点。而通行密钥的独特之处在于，它第一次真正实现了「更安全」与「更方便」的兼得——用户不再需要记忆任何东西，只需一次指纹触摸或面部扫描即可完成登录。

业内专家预测，未来两到三年内，通行密钥有望成为主流在线服务的默认认证方式。随着FIDO标准的持续演进以及AI辅助安全系统的进一步整合，我们或将见证一个真正的「无密码时代」的到来。

对于普通用户而言，现在正是开始了解和尝试通行密钥的好时机。在支持该功能的平台上主动开启通行密钥，不仅能提升个人账户安全，也是在为更安全的数字未来投下一票。正如NCSC所强调的那样，通行密钥不是未来的技术——它已经是当下最好的选择。