今天是2026年5月26日，香港科技博主周漢范聊起一件徹底改變普通人生活的大事，傳統密碼要正式退場了。

我們都有過類似的抓狂經歷，好不容易輸入賬號，死活想不起密碼，重置密碼被問“小學最喜歡的零食”，試錯幾次只能絕望放棄。

最近，越來越多網站不再問你要密碼，而是彈出一個叫“Passkey”的選項。

英國國家網絡安全中心甚至出面喊話，呼吁民眾全面停用老舊密碼，很多人心里犯嘀咕，這是新套路還是一場技術革命？

密碼這東西用了幾十年，大家一邊抱怨一邊湊合用。為什么現在整個科技圈、安全界甚至政府單位都急著把它淘汰？原因很簡單，傳統密碼在當下社會已經行不通了。

它有著天生的缺陷：要安全就難記，好記就不安全。有人全用ABC，有人一路123。后來網站強制要求加入大小寫和特殊符號，結果大部分人也就是把首字母大寫，后面加個@符號交差。

導致你在各個社交平臺、購物網站上，用的幾乎都是同一組修修改改的密碼。

我們的大腦本來就不適合管理幾十組復雜的亂碼。黑客恰恰最喜歡這一點。網絡安全報告指出，高達22%的信息泄露事件，源頭就是密碼被盜。

黑客根本不需要狂敲鍵盤攻破防火墻，他們只要拿到你在A網站泄露的賬號密碼，寫個程序去B網站、C網站瘋狂測試。也就是行內俗稱的“撞庫攻擊”。

只要你多處用一個密碼，賬號立刻全面淪陷。

后來為了堵漏洞，開始流行手機短信雙重驗證。不過問題接踵而至，詐騙分子的技術也在全面升級。

如今的攻擊者會直接做一個逼真的釣魚網站，讓你乖乖交出賬號、密碼和剛收到的短信驗證碼。前不久有朋友收到郵件，說發票中獎了四千塊，點擊進入所謂的“官方整合平臺”。

人只要一激動，馬上輸入驗證碼。同一時間，黑客就在另一頭真正的官網上用你給的驗證碼登錄。一進一出，賬號就被洗劫一空。后來從外部網絡查證，才發現那根本是個徹頭徹尾的騙局。

更可怕的是，現在的釣魚郵件也在迭代，以前的詐騙信一看就是機器翻譯，繁簡轉換都有錯。

如今有了人工智能加持，騙子能寫出極其自然的郵件，模仿客服語氣，甚至根據你的職業、社交動態量身定制。

微軟團隊發現，這類AI生成的釣魚信，點擊率竟然高達54%。光靠用戶自己多留心眼，早就防不住了。

在這個節骨眼上，Passkey的技術剛好成熟。簡單來說，它是一把存在你手機或電腦里的“數字鑰匙”，由你的設備替你保管。

以前登錄網站，是把一串通關密語交給網站核對。只要網站被黑，密碼就丟了。Passkey的邏輯完全不同，它是FIDO聯盟推動的國際標準，采用公開密鑰加密技術。

你在某網站設定Passkey后，手機會生成一對專屬鑰匙：私鑰自己藏在手機里，公鑰交給網站保存。

下次登錄，網站不再問你密碼，而是發一道驗證題。

你用刷臉、指紋解鎖手機上的Passkey，設備就會用私鑰給這道題做加密簽名。網站拿公鑰一核對，對上了就放行。整個過程，網站只能確認簽名，拿不到你的私鑰。

即使網站服務器被黑客一鍋端，他們拿到的公鑰也無法用來登錄。

目前蘋果從iOS 16開始力推，谷歌在2023年也全面接入，連亞馬遜和微軟都已經支持。雖然還沒到百分百普及的階段，發展規模已經相當驚人。

不到一年時間，光是谷歌就有超4億賬戶使用過Passkey，完成驗證超10億次。FIDO聯盟預估，今年全球已有50億個Passkey正在運轉，大部分企業都在加緊部署。

平時企業處理忘記密碼，包含IT人員的時間和員工停工的損失，平均一次就要耗費70美元。如果做雙重驗證，每人每月還要增加額外成本。

改用Passkey，既省錢又安全。大家可能會覺得，太好了，黑客馬上要集體失業。

千萬別盲目樂觀。Passkey確實補上了密碼最大的漏洞，同時也把風險轉移到了別處。

首要問題就是“賬號找回”的后門漏洞。如果一個網站支持Passkey，同時又允許你用郵箱或人工客服重置賬號，黑客根本不需要硬碰硬破解Passkey，直接繞到后門攻擊你的郵箱就能拿下控制權。

其次是信任的轉移。以前你在不同設備間用密碼登錄，現在Passkey通常和手機平臺深度綁定，跨平臺同步。

我們要開始擔心，手機丟了怎么辦？蘋果、谷歌、微軟這些平臺的底層系統足夠安全嗎？

我們的數字身份驗證方式正在發生劇變。以前是“我知道什么”（記住密碼），現在變成了“我擁有什么”（掌握并能解鎖這臺手機）。

數字世界正在經歷一場大洗牌，傳統密碼這種反直覺的設計注定要被時代淘汰，取而代之的是更無感、更底層的生物識別技術。

我們交出記憶密碼的負擔，換來的是對智能手機和幾大科技平臺更深的依賴。

無論咱們是否習慣，這股浪潮已經勢不可擋。搞懂這些背后的邏輯，守好自己手里的設備，才是通往未來數字生活真正的護身符。