通行密钥
本文约需 2 分钟阅读
通行密钥 (Passkey) 是一种基于 FIDO2 (Fast IDentity Online 2) 标准的无密码认证方式,它使用公钥加密来代替密码进行身份验证。用户无需输入密码,只需使用与解锁设备相同的方式 (如指纹识别、面部识别或 PIN 码) 即可登录服务。它具有很强的钓鱼抵抗能力,作为从根本上消除密码泄露风险的下一代认证技术而备受关注。
历史背景
作为通行密钥基础的 FIDO 规范由 2012 年成立的 FIDO Alliance 制定。 2018 年 W3C 将 WebAuthn 推荐为 Web 标准,使浏览器中的无密码认证在技术上成为可能。转折点出现在 2022 年,Apple 、 Google 、 Microsoft 三家公司联合宣布支持通行密钥。由此实现了跨设备、跨平台的通行密钥同步,面向普通用户的普及也正式加速。
工作原理
通行密钥基于公钥加密方式。在向服务注册时,会在设备上生成一对私钥和公钥。私钥保存在设备的安全区域 (安全隔区或 TPM) 中,只有公钥被发送到服务端。登录时,设备使用私钥对服务发送的挑战进行签名,服务端则使用公钥进行验证。由于私钥永远不会离开设备,因此即使服务器端发生数据泄露,认证信息也是安全的。
无密码认证的技术动向,在无密码认证技术书 (Amazon)中有详细解说。
现场使用案例
“我们完成了内部系统的通行密钥支持,将员工的平均登录时间从 8 秒缩短到了 2 秒。钓鱼攻击的受害也降为零,实现了安全性与便利性的兼顾。”
认证流程
实务现状与过渡期对策
Apple 、 Google 、 Microsoft 的主要平台都已支持通行密钥,支持的服务也在迅速增加。截至 2025 年,Amazon 、 GitHub 、 PayPal 等众多主要服务都已支持通行密钥,普及正在加速。不过,并非所有服务都支持通行密钥,因此短期内仍会与密码并用。实务上的注意点是,由于通行密钥与设备绑定,因此事先确保设备丢失或故障时的恢复手段非常重要。如果启用了通过 iCloud 钥匙串或 Google 密码管理器进行的云同步,那么在更换设备时也能顺利迁移。对于尚未支持通行密钥的服务,足够长的随机密码与两步验证的组合仍然是最佳选择。认证技术最新动向 (Amazon)也有助于把握今后的动向。
这篇文章对您有帮助吗?