- 综合排序
- 最热优先
- 最新优先
- 来自专栏iSharkFly
Discourse 设置 passkey 登录
其实Passkey的核心技术非常简单粗暴,就是用非对称密钥通过签名完成认证。 设置 passkey设置 passkey 的部分是在用户的安全属性哪里。进入你的用户选项,然后选择添加 Passkey。如果使用的是 Windows 计算机的话,上面可以选择使用你的计算机 PIN。 手机上会显示是否保存当前网站的 Passkey,同时是 iPhone 的话还需要校验你的 FaceID。当单击同意保存后,网站界面将会显示 Passkey 已保存。单击 OK 继续。 Discourse 会提示要求为使用的 Passkey 创建一个名称。可以使用默认名称,在这里,我们用名称 iPhone 来表示这个 Passkey 被 iPhone 使用。然后单击继续。 登录在登录的时候选择使用 Passkey 登录选项。然后单击下一步获取 QR 二维码。使用手机上面的照相功能,在照相机的下方,会显示是否使用 PassKey 进行登录。
56500编辑于 2024-05-25 - 来自专栏FreeBuf
密码退出历史舞台,谷歌支持 Passkey 登录
The Hacker News 网站披露谷歌又“玩出了”新花样,推出一项名为 Passkey 的新功能,用户可以无需密码,使用更安全、更简单、更快速的方式登录其谷歌账号。 此外,与密码不同, PassKey 还可以抵御网络钓鱼、黑客破解等潜在的网络攻击,使其比短信验证更安全。 值得一提的是,用户可以选择为登录谷歌账户所使用的每一台设备创建 PassKey。 也就是说如果用户使用其它设备登录到同一个 iCloud 帐户,使用同一 PassKey 即可。 此外,用户可以在新设备上登录,也可以通过选择“使用其它设备 PassKey ”选项临时使用其它设备,然后使用手机的屏幕锁定来批准一次性登录。 最后, 谷歌建议用户不要在与他人共享的设备上创建 PassKey,此举可能会破坏其所有安全保护。
1K30编辑于 2023-05-12 - 来自专栏公共互联网反网络钓鱼(APCN)
通行密钥(Passkey)身份认证机理、安全优势与工程化实现研究
本文以通行密钥(Passkey)为研究对象,基于 FIDO2/WebAuthn 开放标准,系统阐述其非对称密码学基础、认证全流程与防钓鱼安全设计,对比分析密码、密码管理器、通行密钥三类机制的安全性、可用性与工程风险 在此背景下,由 FIDO 联盟主导、Google、Apple、Microsoft 等厂商共同支持的通行密钥(Passkey)技术快速普及,成为无密码认证的主流方案FIDO Alliance。 3 通行密钥(Passkey)技术原理与认证流程3.1 核心定义与标准基础通行密钥是基于 FIDO2/WebAuthn 与 CTAP 协议的无密码认证凭证,使用设备解锁机制(生物识别、PIN)完成登录, user_id] = {"challenge": challenge, "ts": datetime.now().timestamp()} return challengedef create_passkey 7.2 推进策略政策与标准引导:推动关键行业优先采用无密码认证;厂商协同:操作系统、浏览器、服务端统一支持 Passkey;渐进式升级:支持密码 + Passkey 双因素,逐步取消密码;安全运营配套:
38210编辑于 2026-04-07 - 来自专栏开源项目与最新讯息
微软强推 Passkey 背后的技术演进与安全革命
用户登录成功后,立刻弹窗强烈引导用户注册并绑定一个本地的 Passkey。总结微软在 Windows 11 中对短信验证码的“绝杀”,是一场为了全体网络社会利益而进行的硬着陆。 微软强推 Passkey 背后的技术演进与安全革命】:https://news.zyhorg.cn/articles/microsoft-is-killing-sms-codes-for-microsoft-account-sign-in-aggressively-pushes-passkeys-on-windows
4311编辑于 2026-05-22 - 来自专栏HikariLan's Blog
为你的网站接入 Passkey 通行密钥以实现无密码安全登录
为你的网站接入 Passkey 通行密钥以实现无密码安全登录 前言 说来也巧,最近在研究 Passkey,本来思前想后是不写这篇文章的(因为懒),但是昨天刷知乎的时候发现廖雪峰廖老师也在研究 Passkey 了解 Passkey 要了解 Passkey,我们首先需要了解 Web Authentication credential(Web 认证凭据),简而言之,Web 认证凭据是一种使用非对称加密代替密码或 Passkey 则是一种特殊的 Web 认证凭据:与传统的 Web 认证凭据不同, Passkey 可用于同时识别和验证用户,而前者只能用于验证用户信息,不能用来识别用户,这得益于 Passkey 的可发现性 验证,createPasskeyCredential 为创建 Passkey 凭据,validatePasskeyCredential 为认证 Passkey 凭据。 = "passkey:registration"; private final String REDIS_PASSKEY_ASSERTION_KEY = "passkey:assertion"
5K50编辑于 2023-10-18 - 来自专栏编程思想之路
Android蓝牙配对弹出框过程分析 Android蓝牙配对弹出框过程分析
如果type(int型数值)属于以下3种类型: BluetoothDevice.PAIRING_VARIANT_PASSKEY_CONFIRMATION(数值为2,远程设备为手机/scp860时为该类型 ),需要用户确认 BluetoothDevice.PAIRING_VARIANT_DISPLAY_PASSKEY(数值为4),以前的一种配对方式,用在蓝牙2.1配对过程中,需要在本机(local device )输入显示在远程设备上的秘钥 passkey: enter the passkey displayed on remote device BluetoothDevice.PAIRING_VARIANT_DISPLAY_PIN BluetoothDevice.java中 总结来说如果不以action为区分的话,配对分为三种情况 直接配对连接不需要鉴权(just works):这种情况相当于手机发起配对时不需要请求远程设备,即不需要远程设备的认可 passkey 这种情况配对时会请求远程设备,然后远程设备会提供一个passk/pin码但不会通过代码的形式通知给用户,用户需要去查看远程设备显示的配对码并输入该pairingkey配对码(属于蓝牙2.0和2.1时的处理) passkey
7K90发布于 2018-01-24 - 来自专栏公共互联网反网络钓鱼(APCN)
告别密码!Facebook全面上线“无密码登录”,安全登录迎来新选择
Passkey技术正是为解决这些问题而生。它基于FIDO联盟的国际安全标准,采用先进的公钥加密技术。 同时,Passkey支持跨设备同步。比如,你可以在iPhone上创建Passkey,然后通过iCloud钥匙串同步到Mac或iPad,实现无缝登录。 专家建议:尽快启用,但仍需保持警惕Passkey无疑是当前最安全的登录方式之一。芦笛建议:“所有Facebook用户都应尽快在账户设置中启用Passkey功能。 对于企业而言,芦笛建议应推动员工在工作账户中采用Passkey等无密码认证方式,结合多因素认证(MFA),构建更坚固的账户安全防线。 而现在,不妨从为你的Facebook账户设置一个Passkey开始。编辑:芦笛(公共互联网反网络钓鱼工作组)
47610编辑于 2025-10-13 - 来自专栏编程思想之路
Android蓝牙配对弹出框过程分析
如果type(int型数值)属于以下3种类型: BluetoothDevice.PAIRING_VARIANT_PASSKEY_CONFIRMATION(数值为2,远程设备为手机/scp860时为该类型 ),需要用户确认 BluetoothDevice.PAIRING_VARIANT_DISPLAY_PASSKEY(数值为4),以前的一种配对方式,用在蓝牙2.1配对过程中,需要在本机(local device )输入显示在远程设备上的秘钥 passkey: enter the passkey displayed on remote device BluetoothDevice.PAIRING_VARIANT_DISPLAY_PIN BluetoothDevice.java中 总结来说如果不以action为区分的话,配对分为三种情况 直接配对连接不需要鉴权(just works):这种情况相当于手机发起配对时不需要请求远程设备,即不需要远程设备的认可 passkey 这种情况配对时会请求远程设备,然后远程设备会提供一个passk/pin码但不会通过代码的形式通知给用户,用户需要去查看远程设备显示的配对码并输入该pairingkey配对码(属于蓝牙2.0和2.1时的处理) passkey
3.4K20发布于 2019-05-27 - 来自专栏网络安全技术点滴分享
深入解析Passkeys背后的密码学原理
我们还将讨论主要的Passkey规范WebAuthn,并展示如何利用Passkey机制的扩展构建具有不同功能的复杂系统。Passkey密码学基础Passkeys本质上只是用于生成数字签名的密钥对。 当用户在网站上注册Passkey时,认证器会生成Passkey和标识符(凭证ID)。网站存储公钥和标识符,并将它们绑定到用户帐户。然后,网站可以使用此标识符告诉认证器它们想要访问哪个Passkey。 一些认证器有大量存储空间,它们自己存储所有用户Passkey。其他认证器没有,因此它们加密Passkey并在注册期间将加密的Passkey作为标识符提供给网站。 此外,平台还可以支持Passkey共享或家庭帐户,其中多个用户可以访问相同的Passkeys。网站应根据Passkey提供的访问权限警告用户这些风险。 当用户注册Passkey时,网站将凭证ID存储为该用户Passkey的标识符。如果攻击者能够以某种方式注册具有与其目标受害者相同凭证ID的Passkey,他们可能会造成认证混淆。
72010编辑于 2025-07-26 - 来自专栏公共互联网反网络钓鱼(APCN)
密码管理器与通行密钥协同演进及身份认证安全体系研究
(private_key, challenge: bytes) -> bytes: return private_key.sign(challenge)def passkey_authenticate return True return False6.4 混合认证策略引擎from enum import Enumclass AuthMethod(Enum): PASSWORD = 1 PASSKEY = 2 TOTP = 3def get_recommended_auth(support_passkey: bool, is_critical: bool) -> AuthMethod: if support_passkey and is_critical: return AuthMethod.PASSKEY elif support_passkey: return AuthMethod.PASSKEY else: return AuthMethod.PASSWORD反网络钓鱼技术专家芦笛强调,代码应遵循本地优先、硬件加固、最小权限原则
8210编辑于 2026-05-15 - 来自专栏公共互联网反网络钓鱼(APCN)
LastPass用户再陷钓鱼围猎:仿冒邮件借“讣告”之名窃取密码库
此外,攻击者大量使用 passkey-focused 钓鱼域名,如 mypasskey[.]info 和 passkeysetup[.]com。 这些域名刻意模仿 FIDO 联盟推广的无密码认证标准(Passkey),试图让用户误以为这是“新一代安全登录方式”,从而放松警惕。 “Passkey 本是提升安全性的技术,却被滥用于钓鱼,说明攻击者也在紧跟技术潮流。” 芦笛强调,“用户必须明白:任何要求你‘输入 Passkey’或‘确认生物识别’的网页,都是可疑的——真正的 Passkey 认证由操作系统或浏览器本地完成,不会通过网页表单收集。” 而 通行密钥(Passkey)钓鱼 则利用了用户对新技术的认知盲区。攻击者搭建支持 WebAuthn 协议的钓鱼站点,诱使用户在该站点“注册”或“登录”Passkey。
20910编辑于 2025-11-11 - 来自专栏蓝牙Ble/Mesh
BLE安全之SM剖析(2)
legacy pairing的认证方式有:Just_Work, Passkey Entry, OOB这三种方式。 配对流程分析: 1. 双方协商TK值 • Just Work 模式TK值默认为0, • Passkey Entry模式TK值即为输入的数值, • OOB模式TK值即为OOB交互的数值。 3. STK的计算公式如下: STK = s1(TK, LP_RAND_R, LP_RAND_I) 下面分别是Just Works, passkey entry 和 OOB模式的配对流程图 Just Works 配对流程图, TK设置为0 passkey entry 配对流程图,TK为输入的pin code值 OOB配对流程图,TK为外部OOB数值 由上面三个流程图可以看出,上面三个流程最大的区别就是TK 双方设置ra值和rb值,这个值很类似于legacy paring中的TK值 • Just Works模式 和Numeric Comparison 模式的ra值和rb值分别设置为0, • passkey
1.9K10编辑于 2023-02-28 Typecho 后台美化主题 BooAdmin 基于 TailwindCSS 重构版本正式发布啦
原生Passkey支持:特别强化对Passport及Passkey插件的深度适配。 “知行合一”,我基于MIT协议独立开发了passkey-for-typecho插件,并在BooAdmin中进行了深度定制。只为给用户带来最酷、最安全的登录体验。
29320编辑于 2026-03-17- 来自专栏离别歌 - 信息安全与代码审计
Pwnhub Web题Classroom题解与分析
= data['passkey']: return self. 但我们看到后面,后面还有一个判断stu.passkey != data['passkey'],这个比较自然是绕不过去的,怎么办? = data['passkey']:也就不会再执行到data['passkey']的位置,此时返回403: ? 所以,我们可以通过contains语句,一个字符一个字符将我们需要的字段跑出来。 而上述的contains语句,实际上最后执行的是passkey like '%xxx%',此时如果flag中混搭大小写字母,contains操作符是分辨不了的。 通过一番折腾,很多选手发现注入出来的三个passkey并没有什么卵用,登录进去以后也没有任何可疑信息。
1.8K20发布于 2020-10-15 - 来自专栏公共互联网反网络钓鱼(APCN)
“我就用这一个密码,能出啥事?”调查揭美国密码困局:近半人仍在“裸奔”上网
启用无密码登录(Passkey):越来越多网站支持FIDO2标准的Passkey,它用设备指纹(如指纹、面容ID)替代密码,从根本上避免“记不住”和“被试登”的问题。 “Passkey不是未来,它已经来了。”芦笛强调,“苹果、谷歌、微软都在推,它的安全性远高于密码,而且更方便——刷个脸就登录,谁还愿意打字?” 对监管:该出手时就出手芦笛还建议,针对银行、医疗、政务等关键在线服务,监管部门可考虑设立“密码安全合规标准”,例如:强制检测用户是否使用已知泄露的密码;要求提供密码管理器集成指引;将“支持Passkey 进步可期:用数据衡量安全水位报告最后提出,衡量网络安全水平,不能只看“有没有发生大事件”,而应关注几个关键指标:密码唯一率:用户在不同网站使用不同密码的比例;Passkey启用率:已开通无密码登录的账户占比
22610编辑于 2025-10-28 - 来自专栏公共互联网反网络钓鱼(APCN)
酒店业网络钓鱼攻击的防御机制与技术演进研究
3.1 Passkey技术的密码学原理Passkey是基于FIDO(Fast Identity Online)联盟标准(主要是FIDO2和WebAuthn)的一种无密码认证技术。 与传统密码不同,Passkey不依赖用户记忆字符串,而是利用公钥密码学原理,在用户设备(认证器)与服务端之间建立一对唯一的密钥对。 3.3 部署优势与挑战相较于传统MFA,Passkey在酒店业部署具有显著优势。首先,它极大地提升了用户体验。 二是设备管理,酒店员工流动性大,需建立完善的Passkey注册、注销及设备丢失应对机制。 反网络钓鱼技术专家芦笛强调,企业在迁移至Passkey时,应采取“双轨制”过渡策略,即在保留传统MFA作为应急备份的同时,强制推广Passkey作为首选认证方式,并配合全员培训,确保平滑过渡。4.
38210编辑于 2026-03-18 - 来自专栏陈冠男的游戏人生
智能合约:Ethernaut题解(一)
'; }//method7123949()返回一串字符串 function authenticate(string passkey) public { if(keccak256(passkey 也可以直接看源码,想要通过的话,也就是想要改变 cleared 的话,需要调用 authenticate,并且传入 passkey 与 password 进行 hash 的比较。
1.3K51发布于 2020-05-18 - 来自专栏纯情博客
某音电脑端网页版自动回复、点赞之js脚本
) }, { type: "write", text: "igrd2" }); //回车触发回复 setTimeout(handlerByPmouse, 1000, { type: "passKey setTimeout(handlerByPmouse, 3200, { type: "click" }); //setTimeout(handlerByPmouse, 4500, { type: "passKey targetImg:滑块base64,backgroundImg:背景base64} 识别滑块 {type:"clickImage",key:"窗口关键字",img:按钮base64} 点击图形按钮 {type:"passKey
2.1K21编辑于 2023-04-27 - 来自专栏公共互联网反网络钓鱼(APCN)
多渠道协同钓鱼攻击的演化机制与防御体系构建
本文提出“统一信任层”防御框架,强调对所有外部发起的敏感操作链接实施远程浏览器隔离、会话绑定与实时风险评分,并配套部署域名威胁情报、FIDO/Passkey无密码认证、企业级二维码生成审计等技术措施。 5.3 凭据价值最小化推广Passkey/FIDO2无密码认证。 监管与行业协作建立短命域与恶意二维码指标共享池:由ISACs(信息共享与分析中心)牵头,定义标准化IOC格式(如STIX/TAXII);鼓励平台限制短链滥用:要求t.cn、bit.ly等服务对高频跳转至新域名的链接实施人工审核;推动Passkey Phishing Detection Rate, MCPDR):系统正确标记跨渠道协同攻击的比例;隔离环境使用覆盖率(RBI Coverage Ratio, RCR):敏感操作中经RBI处理的占比;Passkey 启用率(Passkey Adoption Rate, PAR):关键应用中用户注册Passkey的比例;恶意二维码平均下架时间(Mean Takedown Time for Malicious QR,
40810编辑于 2025-12-07 - 来自专栏公共互联网反网络钓鱼(APCN)
Gmail凭证泄露事件中的撞库与OAuth钓鱼攻击分析
本文从攻击技术原理、身份验证机制漏洞、防御体系构建三个维度展开论述,提出以唯一密码策略、第三方OAuth授权审计、通行密钥(Passkey)部署及异常登录行为建模为核心的纵深防御框架,并辅以可落地的代码示例与检测逻辑 关键词:Gmail;凭证填充;OAuth钓鱼;刷新令牌;撞库攻击;身份安全;Passkey1 引言2024年末至2025年初,多家网络安全媒体集中报道了所谓“谷歌大规模数据泄露”事件,引发公众广泛关注。 )Passkey基于FIDO2/WebAuthn标准,使用公钥加密替代密码,从根本上杜绝撞库与钓鱼风险。 Google已于2023年全面支持Passkey登录。企业应推动员工注册硬件安全密钥(如YubiKey)或设备内置生物识别(Face ID/Touch ID)作为主要认证方式。 未来,随着Passkey的普及与零信任架构的深化,基于密码的身份验证将逐步退出主流。但在过渡期内,组织必须清醒认识到:最大的风险往往不在基础设施本身,而在用户与系统交互的灰色地带。
55310编辑于 2025-12-08
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号