通行密钥同步
本文约需 2 分钟阅读
密钥同步是指通过云端将通行密钥的认证信息 (私钥) 分发到多个设备的机制。在传统的FIDO2 认证中,私钥被固定在单一设备上,因此设备丢失或更换时重新注册认证信息的麻烦成为巨大的引入障碍。 2022 年 Apple 率先宣布在 iCloud 钥匙串中实现通行密钥同步, Google 和 Microsoft 也随之跟进,加速了无密码认证的普及。
为何需要同步
像安全密钥这样的设备固定型 FIDO2 认证在安全方面是理想的,但对普通用户来说门槛过高。一旦丢失密钥就无法访问账户,每次购买新设备都需要在所有服务中重新注册。这种「不便」是阻碍无密码认证普及的最大因素,而同步功能正是作为其解决方案设计的。
各平台的同步方式
| 平台 | 同步基础 | 加密方式 | 同步范围 |
|---|---|---|---|
| Apple | iCloud 钥匙串 | E2EE (Apple 也无法访问) | 同一 Apple ID 的所有设备 |
| Google 密码管理器 | E2EE (自 2024 年起分阶段引入) | 同一 Google 账户的 Android / Chrome | |
| Microsoft | Windows Hello + Microsoft 账户 | TPM 联动 + 云同步 | 同一 Microsoft 账户的 Windows 设备 |
任何平台在同步时都应用了端到端加密。以 Apple 为例, iCloud 钥匙串的加密密钥在设备上生成, Apple 的服务器上只保存加密后的数据。也就是说,其设计使得连 Apple 自己也无法读取通行密钥的内容。
同步的原理 - 端到端加密
即使云服务提供商的服务器遭到入侵,也无法从加密状态的通行密钥数据中取出私钥。不过,如果账户本身被劫持 (例如 iCloud 账户的密码泄露且两步验证也被突破),则存在攻击者添加新设备并同步通行密钥的风险。云存储的账户保护正是通行密钥同步安全性的基石。
跨平台同步的现状与课题
截至 2025 年,最大的课题是无法跨平台同步。在 iPhone 上创建的通行密钥不会同步到 Android,反之亦然。 FIDO 联盟正在推进「多设备凭据」的互操作性,但现实是各平台都优先将用户圈定在自家生态系统内。
作为这一问题的现实规避方法, 1Password 和 Dashlane 等第三方密码管理器已开始支持跨平台的通行密钥同步。由于这些工具独立于操作系统的通行密钥基础运行,因此即使在 Apple 设备和 Android 设备之间也能共享通行密钥。在多设备间的密码同步这篇文章中,讲解了具体的设置步骤。
与设备固定型的权衡
便利性高,即使设备丢失也能从云端恢复。最适合面向普通用户的服务。但依赖于云账户的安全性。
由于私钥不会离开物理设备,因此不受云端入侵的影响。适合企业的高安全性环境。丢失时的恢复是课题。
在企业的安全策略中,对普通员工允许使用同步型通行密钥,而对管理员账户强制使用安全密钥的混合运营方式正在增加。在通行密钥迁移的课题中,讲解了这种运营设计的详细内容。
常见误解
我们常听到「如果通行密钥会同步,那不就和密码一样存在泄露风险吗」这样的担忧。然而,通行密钥的同步与密码的同步根本不同。密码是发送到服务器的「共享秘密」,但通行密钥的私钥从不会发送到服务器。同步仅在设备之间进行,认证时只有对挑战的签名会发送到服务器。即使同步路径遭到入侵,也无法从经E2EE 加密的数据中取出私钥。无密码认证相关书籍 (Amazon)可以更深入地学习这一机制。
实务中的引入判断
引入通行密钥同步时,事先调查目标用户的使用环境很重要。如果是统一于 Apple 生态系统的组织,仅靠 iCloud 钥匙串就足够了,但在 BYOD (自带设备) 环境中,跨平台问题就会凸显。请同时评估生物识别认证的风险,并考虑生物识别认证作为同步型通行密钥的身份验证手段是否合适。
这篇文章对您有帮助吗?