Passkey 其实是公私钥鉴权，从算法角度讲安全性是比密码及 MFA 好的。 而且 Passkey 一般是要搭配硬件密钥使用，私钥是不可导出的。即使使用可导出的私钥，一般也要配合密码使用

@woniu7 你有同步 passkey 在某个账号上吗？如果那个账号被盗了，不是全丢了？ 如果你没同步在某个账号上，那万一你设备丢了，怎么办？

@moudy 对的，我也觉得，passkey 只是比反复用老密码安全一点，但是并没比密码 + 2fa 安全。而且同步账号被盗会面临一锅端风险。

@ysc3839 是的，从算法原理上肯定是比密码好的。问题出在管理上，实际情况总是需要管理这些密钥的，比如云同步或者打印密钥，这就增加了使用成本也降低了安全性。

@Matrixes 对的，密码和 2fa 使用不同的管理器，还可以防止一锅端现象

通行密钥可以认定就是一种密码，只不过它更方便，相对来说更安全（绑定硬件和生物识别）。至于说手机丢失的话，就需要用密码或其他验证方式。至于说联网同步的 passkey 被盗，目前我了解的好像都是绑定设备的，还没见过类似密码管理器同步密码的那种同步通行密钥的，这个留给大家讨论。

@niunew 但是按你的说法，如果只有一个设备，丢了，就无法登陆了，只能用类似上传证件方式拿回账号了。

@qdwang 你可以选择不要这个备用代码，passkey 丢失后完全无法解密或者找回。

@qdwang 在您这个假设下，确实分离储存的密码和 TOTP 更安全。 但是想通过多终端同步攻破 Passkey 难度也太大了吧？以 Bitwarden 为例，从账号密码入手需要用户名+密码+2FA(+自托管路径)，从设备入手需要锁屏 PIN+生物识别或主密码。 我认为这种攻击成本高到足够让我放心了。

@qdwang 你还有备用码，备用邮箱，备用手机号，密码，备用联系人等等找回。通行密钥只是他们中的一种。