passtsuku.com
日本語English中文Español

通行密钥迁移的现实 - 企业和个人面临的兼容性壁垒

本文约需 11 分钟阅读

作为替代密码的认证方式,通行密钥 (FIDO2/WebAuthn) 凭借其抗钓鱼能力和便利性正在快速普及。根据 FIDO Alliance 2024 年的调查,支持通行密钥的服务同比增长超过 50%,Google、Apple、Microsoft 三大平台均已支持通行密钥同步。然而在实际迁移过程中,"明明支持却无法使用""换了设备就无法认证"等兼容性问题频繁出现。本文从技术角度分析 2025 年通行密钥迁移的现实状况,探讨企业和个人各自面临的挑战,并提出切实可行的分阶段迁移路线图。在过渡期间,使用 Passtsuku.com 生成的强密码作为备用认证手段,避免出现认证空白期至关重要。

结论 - 通行密钥迁移不是"全有或全无"

试图一次性完成通行密钥的完全迁移,往往会因兼容性壁垒而受阻。现实的做法是设置通行密钥与密码并用的混合过渡期,从已支持的服务开始逐步迁移。对于尚不支持通行密钥的服务,请结合 Passtsuku.com 生成的 20 位以上随机密码和两步验证进行防护。完全无密码环境的实现预计要等到 2027 年左右,届时行业标准化将进一步推进。

通行密钥的技术原理

FIDO2/WebAuthn 认证流程

通行密钥是基于 FIDO2 标准的公钥加密认证技术。传统密码认证在服务器上存储秘密信息(密码哈希),而通行密钥仅在服务器上存储公钥,私钥安全地保存在用户设备中。认证时,服务器发送挑战(随机数据),设备用私钥签名后返回。服务器用公钥验证签名,因此秘密信息永远不会在网络上传输。这一机制从原理上消除了在钓鱼网站上输入凭证的风险。WebAuthn API 在浏览器中实现,会加密验证认证请求的来源(域名),因此在伪装正规网站的假网站上无法完成认证。

跨平台通行密钥同步

2024 年以来,Apple(iCloud 钥匙串)、Google(Google 密码管理器)和 Microsoft(Windows Hello)各自实现了自家生态系统内的通行密钥同步。Apple 设备间通过 iCloud 钥匙串自动同步,Android 设备间通过 Google 密码管理器自动同步。然而,最大的挑战在于:截至 2025 年 4 月,将 Apple 上创建的通行密钥转移到 Android(或反向操作)的标准方法尚未建立。FIDO Alliance 在 2024 年发布了用于跨平台转移的凭证交换协议 (CXP) 和凭证交换格式 (CXF) 的草案规范,但主要平台的实现预计要到 2025 年下半年或更晚。

要更深入地了解通行密钥的技术原理,FIDO2 认证技术解说书 (Amazon)也可供参考。

2025 年主要服务支持现状

通行密钥的支持正在快速推进,但各服务的实现水平差异很大。Google、Apple、Microsoft 账户可以将通行密钥作为主要认证方式,完全支持无密码登录。Amazon、PayPal、GitHub、Shopify 等也已支持,但部分服务将通行密钥定位为两步验证的一种方式,尚未完全废除密码。在日本国内,Yahoo! JAPAN 从 2023 年开始支持通行密钥,NTT DOCOMO 的 d 账户也在 2024 年跟进。然而,许多国内银行和行政服务仍未支持通行密钥。根据 Passkeys.directory 的统计,截至 2025 年 3 月,全球约有 400 个服务支持通行密钥,但日常使用的大多数服务仍然需要密码认证。

企业面临的迁移挑战

与遗留系统的集成

企业通行密钥迁移的最大障碍是与遗留系统的集成。许多企业应用仍然依赖基于 LDAP 或 Active Directory 的密码认证,添加 FIDO2 支持需要修改认证层。特别是在金融和医疗等行业,运行在大型机或旧中间件上的核心系统往往无法更新以支持 WebAuthn。根据 Gartner 2024 年的调查,在拥有 1000 名以上员工的企业中,仅有 15% 完成了内部系统的通行密钥部署,60% 将遗留系统集成列为主要障碍。现实的做法是引入支持 FIDO2 的 SSO 身份提供商 (IdP) 作为连接遗留系统的桥梁,而不是逐个修改每个系统。

用户教育和支持成本

通行密钥的概念对技术人员来说很直观,但对普通用户而言,"不输入密码就能登录"的体验可能会引发不安。Hypr 2024 年的调查显示,部署通行密钥的企业中有 42% 报告"用户咨询暂时增加"。最常见的咨询包括"设置了通行密钥却被要求输入密码"(服务端的回退行为)、"新设备上无法使用通行密钥"(同步延迟或不支持)、"误删通行密钥后不知道如何恢复"等。企业需要在迁移前准备好帮助台应对手册,并通过分阶段推出来分散咨询集中。

个人用户面临的挑战

设备丢失时的恢复问题

通行密钥最大的风险是持有私钥的设备丢失时的恢复。密码有成熟的"忘记密码"重置流程,但通行密钥以设备本身作为认证密钥,恢复难度大幅提高。如果使用 iCloud 钥匙串或 Google 密码管理器的云同步,只需在新设备上登录即可恢复通行密钥。但如果禁用了云同步,或在跨平台迁移时(如从 iPhone 换到 Android),则需要重新注册所有通行密钥。FIDO Alliance 的调查显示,23% 的通行密钥用户"不了解设备丢失时的恢复步骤",这一认知差距正成为普及的障碍。

家庭和团队的账户共享

密码虽然不推荐,但可以在家庭成员间共享,而通行密钥因绑定生体认证或设备 PIN,本质上难以共享。现实中确实存在账户共享需求,如视频流媒体的家庭账户、小型企业的共享账户等。Apple 在 2024 年推出了通过 AirDrop 共享通行密钥的功能,但仅限于 Apple 设备间。1Password、Dashlane 等第三方密码管理器已开始支持通行密钥的存储和共享,但如果服务方不允许第三方通行密钥存储则无法使用。这一问题是通行密钥设计理念(绑定个人的认证)与现实使用场景(共享账户)之间的根本矛盾,短期内难以解决。

分阶段迁移路线图

阶段 1:为主要账户注册通行密钥(立即)

从完全支持通行密钥的服务开始注册,如 Google、Apple、Microsoft 账户。这些服务允许通行密钥和密码并用,因此添加通行密钥不会禁用现有的登录方式。注册通行密钥后,仍请保留 Passtsuku.com 生成的强密码作为备用认证手段。当通行密钥因某种原因无法使用时,它们可以作为后备方案。

阶段 2:密码管理器整合(1-3 个月)

引入支持通行密钥存储的密码管理器(1Password、Dashlane、Bitwarden 等),集中管理通行密钥和密码。这可以解决跨平台问题,因为第三方密码管理器可在 Apple、Android、Windows 间通用。将所有现有密码迁移到密码管理器中,并在 Passtsuku.com 上为每个服务生成 16 位以上的唯一密码。

阶段 3:逐步过渡到无密码(6-12 个月)

随着支持通行密钥的服务增多,从可以禁用密码的服务开始逐步过渡到无密码。但在 2025 年,在所有服务上废除密码还不现实。对于不支持通行密钥的服务,请继续使用 Passtsuku.com 生成的强密码配合两步验证。2026 年以后,随着 CXP/CXF 规范实现的推进和跨平台迁移变得更容易,全面过渡到无密码环境将变得更加现实。

现在就能做的事

  1. 在 Google 账户安全设置中注册通行密钥(设置 → 安全 → 通行密钥和安全密钥)
  2. 在 Passtsuku.com 上将不支持通行密钥的服务密码更新为 16 位以上
  3. 在 Passkeys.directory 上确认正在使用的服务的通行密钥支持状况
  4. 确认通行密钥的恢复手段(启用云同步、备用认证方法)
  5. 在所有账户上启用两步验证,优先使用认证应用而非短信

常见问题

设置通行密钥后就不需要密码了吗?
大多数服务在设置通行密钥后仍会保留密码。通行密钥作为优先登录方式,但建议保留密码作为备用,以防设备丢失或通行密钥出现问题。在 Passtsuku.com 上设置 16 位以上的强密码,即使通行密钥不可用也能安全登录。
从 iPhone 换到 Android 时通行密钥会怎样?
截至 2025 年 4 月,没有标准方法将 iCloud 钥匙串中保存的通行密钥直接迁移到 Android。需要在新的 Android 设备上为每个服务重新注册通行密钥。使用 1Password 等第三方密码管理器可以跨平台管理通行密钥,但需要服务方的支持。FIDO Alliance 的 CXP/CXF 规范实现后,这一问题有望得到解决。
企业正在考虑引入通行密钥,应该从哪里开始?
首先确认 SSO 身份提供商 (IdP) 是否支持 FIDO2。如果 IdP 支持通行密钥,就可以在不修改各个应用的情况下引入通行密钥认证。然后在 IT 部门小范围试点运行,了解帮助台咨询模式后再全公司推广。过渡期间,保持所有账户的强密码和两步验证非常重要。

相关文章

生成密码 →

相关术语