为什么现在的密码喜欢使用 2FA（TOTP、passkey ）？

国内其实更先进一点，使用是手机验证码多一点，这是因为国家强制实名制和互联网版的编户齐民的完善措施，使用手机验证码可以让账户被盗登的难度大大增加，而 TOTP 和 passkey 其实并不好用，因为无法确认登录人的准确身份，这个在我国是不允许的。

但是在海外，使用 TOTP 和 passkey 是很常见的，毕竟你的网站，要求对面的用户是一个真实的人，且是本人 就可以了，无需知道他是哪个国家的哪个合法的人，海外的身份验证政策还是比较混乱的，很多人都有好几本护照，也不现实。

今天聊聊 passkey 等相关的话题。

passkey 就是通行秘钥。全球几乎所有的数据泄露都是由于 当事人 无法保管他们的密码，而导致的密码泄露，然后..... 就被盗登了。咱们以前 QQ 号是不是都有被盗过的经历啊。太可怕了。

保管好密码是极度艰难的事，而且密码被破解也很容易，包括仿冒钓鱼法等等，还有悄无声息的键盘记录.... 太多太多了，还有联网设备也会。还有 数据库 被泄露了。

当然，还有 TLS/SSL 加密，也不行，现在的 加密证书 颁发机构也超级多，很多其实都很草台班子。

密码，，，， 其实很不好用。

于是就诞生了一直加密方式，签名，双因素认证（2FA），作为密码的一种补丁。

有了私钥、公钥的概念。

私钥是在 账号本人 手里，然后公钥是在 服务器 上。只要你有公钥，就能验证 有私钥的人，签署的文件是否是正当的。

这样，就算 服务器 的数据库 被泄露了，也没人知道你的真实密码。

用 gemini 来解释，就是：「私钥像独一无二的印章，留在你手里用来签名；公钥像发给大家的底票，留在服务器上。别人用底票一比对，就知道文件是不是你签的啦！」

当你在某平台注册时，会生成这个 私钥 和 公钥 。

私钥就在你的 密码管理器，公钥 在数据库 里。

登录的时候，服务器会发送一个随机的密码，然后你拿着私钥，也就是你的本地的密码器，签名，再送回去，验证是否匹配。

如果匹配，那就是本人在登录！这也叫双因素认证（2FA）。

这个方法的优点，就是 私钥 是在你手里的，谁也得不到，更不会通过网络，让黑客拿到。钓鱼仿冒也没办法。

还有一个优点，就是你可以在任何 危险 的网络里，成功登录你的账户！只要你用完就登出，谁也盗号不了。因为这个方法，就没有泄露的可能性。

当然，也不是说就完全无法被盗取，但是难度增加了很多。

可是！

如果私钥掉了怎么办？比如手机坏了，丢了。这个，。一般 对应 网站都有恢复的办法，比如 github 就有那种恢复码。如果这个恢复码也丢了，那就真的无解了。

passkey 是目前对于密码盗取问题的，最可靠的办法。起码在海外是。