本文目录导读:

这是一个很专业的问题,简单直接的回答是:是的,WebAuthn的普及率在近两年(2023-2024年)取得了显著提升,但距离“全面普及”还有相当长的距离,且提升主要体现在特定领域和生态系统中。
具体可以从以下几个维度来看:
核心驱动因素:平台级支持(大厂推动)
WebAuthn普及最关键的推力来自苹果、谷歌、微软这三大巨头推出的Passkeys(密钥) 概念。
- 用户侧体验的质变: 以前WebAuthn需要用户操作硬件(如插USB密钥),体验门槛高,Passkeys将WebAuthn与设备内置的生物识别(指纹、Face ID)和云同步(iCloud钥匙串、Google密码管理器、微软账户)结合,实现了“拿起手机扫一下/点一下就登录”的无感体验。
- 实际数据:
- 苹果(iOS/iPadOS): 自2022年iOS 16起全面支持,并在2023年随着macOS Sonoma和Safari 17的更新,实现了跨设备(iPhone/ Mac/ iPad)的Passkeys体验。
- 谷歌(Android/Chrome): 2023年将Passkeys设为所有个人谷歌账户的默认登录选项,据谷歌2024年5月公布的数据,Passkeys已在超过40亿个设备上可用,且通过了超过10亿次身份验证。
- 微软(Windows/Edge): Windows 11和Microsoft Edge深度集成了Passkeys,并支持通过手机(如Authenticator应用)或Windows Hello进行跨平台登录。
因为这三家平台的强制或默认推广,用户端对WebAuthn(以Passkeys形式)的接触和使用量在2023-2024年确实实现了爆发式增长。
应用和服务的跟进速度
- 主要流媒体和服务: 包括谷歌账户、GitHub、PayPal、Shopify、WhatsApp(桌面版)、eBay、亚马逊(部分功能)、Adobe、Roblox等主流服务已开始支持或强制使用Passkeys,这从早期的小众技术迭代成了一些主流应用的常规登录选项。
- 局限性: 大量中小企业、银行官网、政府服务网站仍未支持,虽然技术上可以自行部署,但很多企业担心迁移成本、用户教育成本,或者受限于后端系统的老旧架构。
安全性与用户体验的权衡
- 提升: 完全消除了密码泄露、钓鱼攻击(Phishing)、撞库等传统密码安全问题,即使服务器被攻破,攻击者也拿不到用户的私钥。
- 瓶颈:
- 跨平台/跨设备同步问题: 如果用户在苹果手机上创建了Passkey,在Windows电脑上想用Google密码管理器或微软账户登录,目前体验不如同一生态流畅,用户需要依赖密码管理器的跨平台同步。
- 账户恢复: 如果忘记/丢失了所有设备且没有备份密码,恢复账户比使用传统密码复杂得多,很多服务仍然保留“备用验证码”或“恢复密钥”作为保险。
- 硬件分离: 部分场景(如企业合规、高风险账户)仍依赖有物理隔离的硬件安全密钥(如YubiKey),普及率依然较低。
不同场景的普及率差异
- 高普及: 个人消费级互联网服务(社交媒体、邮箱、流媒体、电子商务)—— 因为Passkeys的体验好,用户愿意用。
- 中等普及: 企业内部应用(SSO、VPN、云服务)—— 很多企业开始支持WebAuthn作为双因素(2FA)或单点登录(SSO)的选项,但通常与传统的密码和短信验证码共存。
- 低普及: 银行、政府、医疗等对安全性和合规性要求极高的领域,这些机构往往有严格的内部审计和迁移计划,目前仍主要依赖短信验证码、硬件OTP(一次性密码)令牌或U盾,对WebAuthn持谨慎观望态度。
WebAuthn普及率的真实画像
| 维度 | 当前状态(2024年底) | 判断 |
|---|---|---|
| 用户端 | 数十亿设备原生支持,亿级用户已使用过 | 大幅提升 |
| 应用侧 | 头部互联网公司几乎全部支持,大量中小企业尚未跟进 | 显著提升,但仍有长尾 |
| 技术生态 | 跨平台同步问题正在解决,账户恢复仍是痛点 | 改善中,未完全解决 |
| 安全感知 | 公认是未来方向,但用户和开发者对“无密码”的信任度仍在建立 | 接受度上升,但非全盘接受 |
| 核心驱动力 | 苹果/谷歌/微软的Passkeys战略 | 决定性的推动力 |
你的问题是“大幅提升了吗?”——答案是“是的,在用户接触面和头部生态内大幅提升”,但如果你指的是“在所有网站、所有服务、所有用户都抛弃了密码”,那还远远不够,WebAuthn正在从“技术待普及”快速过渡到“新一代主流登录方式的候选者”,且这个进程比过去十年任何密码替代技术都快。