Passkey能否终结凭证填充攻击

凭证填充攻击的本质，是一场“寄生虫”游戏。黑客拿着A站泄露的账密，去B站寄生，吃的就是用户跨站复用密码的软肋。只要静态字符串还在流转，撞库就不会停。那么，Passkey（通行密钥）这把号称要干掉密码的手术刀，到底能不能彻底终结这场游戏？

理论上的“绝对秒杀”

从密码学底层看，Passkey确实具备终结撞库的基因。传统的撞库之所以成立，是因为密码是可提取的明文，黑客拿到的泄露库是一张一览无余的清单。而Passkey基于FIDO2/WebAuthn协议，采用的是非对称加密。你的设备本地只保管私钥，公钥扔在服务器上。登录时，服务器发一个挑战，设备用私钥签名回应。

这意味着什么？服务器端压根就不存密码！哪怕某家大厂被脱裤，黑客拖出来的也只是一堆无法反向推导的公钥。没有可复用的字符串，撞库脚本连“填”的对象都找不到，直接变成了瞎子。

现实骨感：双轨制的“后门”

不过，理想丰满，现实往往还留着一条退路。Passkey目前无法强制一刀切，几乎所有接入Passkey的系统——无论是苹果、谷歌还是微软——都保留了传统密码作为备用登录（Fallback机制）。这是一个极其无奈的妥协：为了平滑过渡，给用户体验留个后门，但也给黑客留了窗户。

只要密码登录入口还开着，撞库攻击就不会死。黑客的自动化工具会直接跳过Passkey的选项，精准定位到“使用密码登录”的按钮，继续用泄露库狂欢。更棘手的是，目前很多站点的Fallback逻辑设计得很糙，甚至没有针对备用密码入口做单独的速率限制和异常风控。

终局：拔掉插头的那一刻

说到底，Passkey是一剂根治撞库的特效药，但服药的过程漫长且痛苦。在彻底拔掉传统密码登录插头之前，我们依然需要靠多维度限速、行为风控和MFA来续命。真正的终结点，不是Passkey技术本身上线的那一天，而是各大平台敢于彻底关闭密码入口的那一天。那一天会来吗？或许还要看下一次大规模脱裤事件能不能再推一把。