小众论坛会支持通行密钥吗?

如题 ::::::::::

@qingwa @dms 救救站务的权限啊,我记得之前不是已经把站务的权限改成了仅管理员吗(

另,@aquamarine 站点反馈才是提意见的地方,站务是发公告用的

好了,现在【站务板块】只有管理能创建新帖子了,但是所有人可以回复

1 Like

已经支持了吧,偏好设置——安全性——通行秘钥


支持。

@CCR 看左侧类别第一的是站务,没点击去看站点反馈,因为点进去跳转有点儿慢……
建议调整下顺序

@dms 确实支持并可用,但是发现由于多一步跳转,实用价值还不如用户名密码登录 :joy:

歪个楼,建议把 “浏览器” 版块一起锁了吧,这个版块目前已经没什么人发帖了。

初期是有规划的,后来青蛙不按着规划用,并随意添加新板块,我现在也不知道怎么搞才好,而且大范围修改帖子也会导致通知和排序问题。所以,索性把问题留给青蛙好了。

4 Likes

通行密钥跨设备还是大问题的,我hyperos的chrome根本无法调用1p里的通行密钥,也找不到其它通道调用

小众的通行密钥和别家逻辑似乎不太一样,我遇到的站点是把通行密钥作为2FA使用的,即账号+密码+TOTP=账号+密码+通行密钥,但是小众是直接通行密钥等价于账号最高权限,即账号+密码+TOTP=通行密钥。


不知道最佳实践到底是哪个。

附议. 这个版块容易出事. 意义不大.

已经锁了,不能创建新帖,但可以回复旧贴,并敲青蛙考虑板块规划了(他考虑多久就是另外的……((逃

2 Likes

我本以为通行密钥是绑定设备的,最近观察感觉是真的通行。

我记得这个更接近通行密钥,因为当初的宣传就是取代密码。
不止小众,微软和全球最大同性那个也是一样的模式。

青蛙考虑的是,只要坛友素质高,板块规划不重要。

我理解 Passkey 就是用一个随机生成的高强度密码作为通行证吧,所以论坛这样应该是合理的。

至于安全问题,如果 Passkey 方式不安全,那么很多 API 接口的鉴权方法是不是也不安全呢。妥善保管密码终究是自己的问题吧。然后传统的账号密码方式其实也可以看作是一种账号+密码组成的 passkey,所以我觉得区别不大。

请教下,电脑上有些加驱并且会扫全盘的软件。
如果我用了通行密钥,是否可能被读取并用来登录?

首先,设定通行秘钥和账号密码采用了同样的存储管理方案,那有什么区别呢。

账号密码是输入:username,然后 password;通行秘钥可以视作为 UsernamePassword 这样。

能不能被读到不好说,但可以极限法一下,就是被人读到了,毕竟密码泄漏太正常了,各种原因,各种渠道。那传统的用户密码方式,你丢失了这个账户,并且明确给出了用户名,然后就可以撞库了,其他账户也被牵连的处在风险之中。这里有效的处理方式是一个网站一个独立的高强度密码。

换做通行秘钥呢,没有用户名,当然,可以通过登录你的账户获取对应信息,但这样操作成本就高了呀。而且,通行秘钥本身就相当于强制一站一码,并且强度不低。

然后我觉得目前来说,在网站方面,通行秘钥更可能被加密存储,或者进行某些运算之后特征比对。而不是明文。相比传统密码,在这个角度可能也会更安全一些。

至于本地,一般来讲,专业的密码管理器进行管理就是安全的。但是读取么,应该也都是有办法读取得到的。毕竟有时候我们会复制账号密码,而剪切板是公开的。通行秘钥好像一般是透过密码管理器自动识别填充登录,不太会进入剪切板?那就又安全一点点。

然后,就会发现,不是这个技术本身多厉害,而是它的行为逻辑让很多原本薄弱的细节习惯得到了完善。

1 Like

感谢指教,这么看来确实是个更优的方案,开始我还以为通行密钥是设备绑定,那这样就可以让可信设备登录更方便些了。

通行密钥的意义就是为了免输密码避免泄露吧