V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
moudy
V2EX  ›  信息安全

如果手机丢了,里面的 Passkey 通行密钥怎么办?

  •  
  •   moudy · 35 天前 · 3944 次点击
    这是一个创建于 35 天前的主题,其中的信息可能已经有所发展或是发生改变。
    给新手机登陆微信时提示支持创建 passkey 通行密钥,可以免去登陆验证 blahblah 。

    到微信的文档里看了一下,完全没提将来换手机或手机丢了该怎么办。放在以前手机丢了,可以短信登陆。是不是开启 passkey 后手机丢了,就只能走严格的挂失流程了?感觉麻烦程度上升一个数量级。

    现在似乎主要网站都在推荐换到 passkey 登陆,但是并没有一个统一的流程来说明,如果 passkey 丢了该怎么办。有的是给一个巨长的恢复 key 让你记在什么地方,说实话此法巨扯淡,也就企业 IT 部门能有合格的 recovery key 管理,根本就不应该给普通消费者使用。有的怕是要走忘记密码的流程了。

    然后同品牌换手机一般还好说,可以还原密码本。跨品牌换手机似乎如何传递 passkey 就不知道了。原则上 passkey 一经创建就不应该离开设备。品牌不一样的话就没有传递 passkey 的统一标准了吧?
    36 条回复    2025-07-30 16:41:56 +08:00
    iyeatse
        1
    iyeatse  
       35 天前
    passkey 存在 icloud 里的
    butanediol2d
        2
    butanediol2d  
       35 天前
    感觉大部分支持 Passkey 的网站,都允许用户添加多个 Passkey ,可以多个设备存储不同的 Passkey ,但是微信只能添加一个,丢了好像就是丢了。

    如果是 iOS 设备上启用的微信 Passkey ,可以通过密码 app 导出,但是好像很多第三方密码管理器是不支持导入 Passkey 的(如果网站支持添加多个 Passkey ,也确实不需要导入功能)。
    processzzp
        3
    processzzp  
       35 天前   ❤️ 1
    iOS 上的 passkey 保存在 iCloud Keychain 里面的,换机之后登录 iCloud 账号就自动同步回来了。除非你手贱去设置里面关闭了 keychain 同步,那我觉得是你自找的。

    “给一个巨长的恢复 key 让你记在什么地方,说实话此法巨扯淡,也就企业 IT 部门能有合格的 recovery key 管理”
    有个东西叫密码管理器,可以了解一下,给你推荐三个,排名不分先后
    https://keepass.info
    https://bitwarden.com
    https://1password.com
    moudy
        4
    moudy  
    OP
       35 天前   ❤️ 1
    @processzzp #3 icloud 的这个我已经说了,同品牌一般问题不大。换安卓才是麻烦。

    后面你贴的密码管理器就是我最不能理解的地方。

    如果连 passkey 都能丢失,说明你的密码库已经灭了。把 recovery key 存在里面有什么用?

    如果系统被穿透了,别人能接触你的 passkey ,把 recovery key 存在里面等于彻底缴枪投降。

    如果说我给这些很少用到的 key 再加一层密码保护,那对普通用户来说,这个十年都不一定用一次的密码在真需要想起来的时候必然一脸懵逼。
    zed1018
        5
    zed1018  
       35 天前
    我的 recoverykey 放 onedrive 的保险柜那个里面
    misaka19000
        6
    misaka19000  
       35 天前
    安卓怎么备份有人知道吗?
    sunshower
        7
    sunshower  
       35 天前   ❤️ 1
    老实说,使用硬件存储的 passkey ,目前看来,使用体验是很差的
    比如谷歌默认在安卓机里会绑定一个硬件型的 passkey ,我就完全没用,宁愿再生成一个 key 保存到 1p 里。

    存储在密码管理器里,这种软件里的 passkey 还算正常
    wunonglin
        8
    wunonglin  
    PRO
       35 天前
    1password 完美解决
    yaoyao1128
        9
    yaoyao1128  
       35 天前
    @moudy 比如你用 keepass 存 recover key 之后同步在网盘。recovery key 和 passkey 不放在一个管理器就好了,比如用 ios 的 passkey ,用第三方密码管理器。passkey 丢失也是很常见的吧,尤其是用硬件设备的 passkey ,passkey 丢失与密码管理器没多大关系。
    moudy
        10
    moudy  
    OP
       35 天前 via iPhone
    @yaoyao1128 明白了,就是分两个库,一个日常库,另外一个恢复库。恢复库四处备份,库密码自己掌握。日常库储存 passkey 。

    这个倒是很工整易用。不过我还是觉得超越了一般消费者能力了。尤其像我前面说的,这个恢复库可能十年都用不了一次。平常输入库密码最大可能性是往库里加新的恢复 key
    msg7086
        11
    msg7086  
       35 天前
    Passkey 丢失为什么等于密码库灭了?
    为什么 Recovery key 存在里面等于投降?
    为什么十年都不一定用一次的密码会一脸懵逼?

    这是我不理解的地方,为什么你会产生这些奇怪的或者说错误的疑问呢。
    moudy
        12
    moudy  
    OP
       35 天前 via iPhone
    @msg7086 你理解力确实够差的。
    msg7086
        13
    msg7086  
       35 天前
    你现在的痛点是 Recovery key 管理。
    坛友的推荐是 Recovery key 可以存在密码管理器里。
    如果你不是天天丢手机,那你就不需要天天取 Recovery key ,那你存 Key 的密码管理器就不需要随身携带。
    同理你密码管理器的全局加密密码也可以简单写下来放在抽屉里或者存在哪个 U 盘上。
    所以为什么你会问出上面的疑问呢。
    popzuk
        14
    popzuk  
       35 天前
    我之前看新闻说 iOS26 支持迁移 passkey ,另外据说这阵子 1password 可以迁移 passkey 到另一个账户了。前阵子没注册一个免费家庭版就是因为 passkey 不能迁移。现在可以的话,那就可以每年免费家庭版。
    moudy
        15
    moudy  
    OP
       34 天前 via iPhone
    @msg7086 这些都是我和前面 id 讨论完的事情。

    前面说普通人突然被问一个十年不用一次的密码会懵逼,这事没什么不好理解的。你的方案是恢复库密码写下来收藏好。而我的经验是写下来藏在某个地方十年不忘本身就很有挑战性。尤其恢复 key 说到底比银行社保车本房本重要性差 n 个等级,注定一般人不会特别仔细的管理这玩意。我手里还有当年打印的 icloud 恢复密码,但是我真的不能确定这密码期间有没有被我更新过。十年之后你回看密码基本只能碰运气。

    另外你说恢复库不随身携带,那你在外面用到一个新 app ,注册完账号被扔了一个 recover key 到脸上,让你立刻马上记住。而你手边没有恢复库,怎么办?
    NIIIIIIIIIICE
        16
    NIIIIIIIIIICE  
       34 天前
    谁的密码管理器不能同步 Passkey ?下载回密码管理器后用密码管理器里的 Passkey 快捷登录不就好了。
    moudy
        17
    moudy  
    OP
       34 天前
    @NIIIIIIIIIICE 如果你用 icloud keychain 想换安卓手机,怎么搬家?用第三方 keychain 还把 passkey 同步上云的也不存在丢失 passkey 的问题,但是这根宣传的 passkey 不会离开硬件差的有点远。也就等于一个机器自动生成的强密码了
    weazord
        18
    weazord  
       34 天前
    @moudy

    passkey 按设计本来就是可以离开硬件的, 安全性不如那些 physical security keys (如果一定要物理硬件的话,需要注册的时候去读 FIDO MDS

    > 也就等于一个机器自动生成的强密码了

    还是稍微好一点,但确实比较有限,比如 passkey 本身按实现就需要绑定域名的, 所以天然就防钓鱼
    digwow
        19
    digwow  
    PRO
       34 天前 via iPhone
    可以用密码管理器记住,例如用 bitwarden
    dfdd1811
        20
    dfdd1811  
       34 天前
    别用就得了,我只有币安用了 passkey ,之前好奇是不是不用密钥登不上,人家让我用传统方式邮箱 otp 校验也能登录
    seanzxx
        21
    seanzxx  
       34 天前
    很多网站都把 passkey 做为另一种身份验证方式,又不是唯一一种。
    就算 passkey 丢了,你也可以用以前的密码,或者 以前的 apple id 方式登陆。
    而且 passkey 通过云同步的,手机丢了也无所谓呀,你在新手机上登陆 apple account ,passkey 又同步回来了。
    rick13
        22
    rick13  
       34 天前 via iPhone
    icloud 可以云同步,安卓不知道,也可以第三方类似 1password 同步
    rick13
        23
    rick13  
       34 天前 via iPhone
    这功能竟然只能海外手机号用,小龙🐎又死了一遍
    HENQIGUAI
        24
    HENQIGUAI  
       34 天前
    存到 Bitwarden 里,只要主密码不忘记,就不会丢。如果不放心他们的云服务,可以自建服务的。
    HTravel
        25
    HTravel  
       34 天前   ❤️ 1
    本质上是因为你在家里没有自己的数据中心,没有这个“根”,导致你发现 passkey 逻辑上不自洽。

    我的密码分为基础型密码、衍生型密码、普通密码。基础型密码细分为硬件(防盗柜、防盗门、Wi-Fi 等等)、OS 本地用户、应用类(微信、QQ 、OS 在线用户、银行等)。衍生型密码就是类似 gmail 验证登陆、QQ 验证登陆这类生成的注册用户。普通密码自然是不重要的各类网站、app 的密码。

    我基础型密码会单独存放在一个 numbers 里面,然后强加密保存;该强密码也会记在里面。这个强密码需要自行记住。假设出车祸失忆了也有 Plan B ,防盗柜支持 2 个机械钥匙开锁,我在里面放了打印出来的该 number 文档。2 个机械钥匙日常一个插在防盗门上配合数字密码开锁,另一个放在家里不引人注意的角落,确保小偷很难找到。

    我定期会导出所有的密码到另一个 numbers 里面,然后强加密保存。

    所有的密码,包括这两个 numbers 文件,又都在 iCloud 里面,会自动同步到多个设备中。我又写了同步、备份、快照功能,可以再进一步同步到 Windows 、群晖、威联通中。在这些里面会进一步生成历史备份、历史快照。所以即使中了勒索病毒也不影响以前的密码。

    所以唯一一个小风险就是 2 次备份普通密码期间,iCoud 同步普通密码时丢失了,或 iCloud 服务端有 bug 导致丢失了密码。也就是说,在别人眼中 iCloud 是顶级的安全存储中心,在我方案里反而是最弱的那个点。

    假设中美开战,苹果直接关闭了 iCloud ,甚至直接强加密了用户所有文件,我的密码及所有文件都不受影响。

    甚至进一步,我在天翼云、车库车子的中央扶手箱,都各自存放了一份我的核心数据,大约 70GB 。这个存放也是包含了历史版本的,所以即使当前版本出了问题,也不会导致历史版本丢失。

    因为安卓手机支持 termux ,termux 里面能跑我的同步、备份、快照代码,所以我 2 台安卓中,也可以随时备份我的核心数据,相当于我的核心数据永远可以跨苹果生态异构互备在随身的本机设备中。

    我的所有数据(密码自然也是数据),都没有单点故障风险,连双点故障风险都没有。

    密码我也不需要单独考虑,密码本就是数据,按照核心数据备份原则对待即可。
    SakuraYuki
        26
    SakuraYuki  
       34 天前
    @moudy #4 「如果连 passkey 都能丢失,说明你的密码库已经灭了。」 你的主楼里说的是手机丢了不是 passkey 丢了,手机丢了又不影响你用 bitwarden 和 1password ,及时更改这两个的管理密码就行了
    xiangyuecn
        27
    xiangyuecn  
       34 天前
    5202 年了,证明你是你还是很困难嘛
    shenjinpeng
        28
    shenjinpeng  
       34 天前
    用 Bitwarden
    yecc
        29
    yecc  
       34 天前 via Android
    @HTravel 学习了,马上去实践。
    Admstor
        30
    Admstor  
       34 天前
    密码库完全可以丢到云存储,随时保持更新啊

    举例我是用 keepass 的,坚果云实现全平台同步
    keepass 数据库我是使用密码+密钥文件来保护
    密码就是随机密码,死记硬背下来,密钥文件我使用了多个物理 U 盘存放,开 bitlocker 死记硬背下来,并且定期检查校验文件是否完整

    任意设备丢失,因为缺少密码和密钥文件,数据库是安全的
    任何密钥文件丢失,因为缺少密码和数据库,也是安全的,无密码情况下只是一个毫无意义的空白 U 盘
    设备和密钥同时丢失,因为缺少密码,依然是安全的,且这种情况下还不一定能拿到数据库

    我自己只需要记住数据库密码和 bitlocker 密码即可

    甚至于,密码,密码库,密钥文件,我可以分别给三个相互不认识的好友
    这样即便我手上所有设备密钥文件乃至我自己忘记了密码,我都可以找到他们来回复如初(但是因为密码库做不到实时更新,会存在一定的历史版本问题,但是也完全可以解决,不细说了)
    wheat0r
        31
    wheat0r  
       34 天前
    我的 recovery key 打印出来放在另一套房子里了
    qqqyh
        32
    qqqyh  
       34 天前
    首先,passkey 保存在第三方密码管理器里自然就实现跨设备同步了。其次,如果要保存在不可导出的设备上,那当然要每个设备设置单独的 passkey 了,这不就和 GtiHub 上传多个 SSH 公钥一个道理么?
    qqqyh
        33
    qqqyh  
       34 天前
    而且 passkey 只是一个登录选项,设置了 passkey 又不是不让用密码或手机号登录了。
    Andrue
        34
    Andrue  
       34 天前
    软件 webauth 类可以同步备份
    硬件 key 可以设置丢失应急机制
    并且严格安全要求的硬件 key 用户大多都会配置一个以上的多个 key 分散丢失损坏的风险
    ofLmvFk
        35
    ofLmvFk  
       34 天前
    最开始 passkey 设计是硬件绑定的,但是因为有你提及的丢失损坏导致的访问权限丢失,如果只有硬件级别的 key, 那就需要添加多个硬件 passkey 作为备份,比较麻烦。所以设计了可以同步的 passkey.



    具体可以看这个

    https://fidoalliance.org/white-paper-fido-authentication-for-moderate-assurance-use-cases/
    moudy
        36
    moudy  
    OP
       34 天前
    @qqqyh #33 那就是我理解错误了。以为是和二次验证一样,一旦切过去旧的登陆方式就统统作废。因为考虑换机之类的问题,一直没敢启用 passkey ,所以也不清楚 passkey 后还有没有退路。
    关于   ·   帮助文档   ·   自助推广系统   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1015 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 22ms · UTC 19:13 · PVG 03:13 · LAX 12:13 · JFK 15:13
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.