什么是 Passkey
Passkey 是一种旨在取代密码的下一代认证技术。基于 FIDO 联盟和 W3C 开发的 FIDO2/WebAuthn 标准,Passkey 使用公钥密码学来认证用户。它不依赖密码这样的"知识"因素,而是将存储在设备上的私钥与生物识别认证(指纹或面部识别)或设备 PIN 相结合,实现安全便捷的登录。
自 2022 年 Apple、Google 和 Microsoft 联合宣布支持 Passkey 以来,兼容服务的数量迅速扩大。截至 2025 年,大多数主要 Web 服务都支持 Passkey 登录,用户正在迎来摆脱密码管理负担的时代。
Passkey 的工作原理
公钥密码学认证
Passkey 的核心是公钥密码学。在账户注册时,设备上生成一对公钥和私钥。公钥被发送到服务的服务器并存储,而私钥保存在设备的安全区域(TPM、Secure Enclave 等),受设备加密保护。
- 用户请求登录,服务器发送一个随机挑战(认证请求)
- 设备通过生物识别认证或 PIN 验证用户
- 验证通过后,私钥对挑战进行签名,签名被发送回服务器
- 服务器使用存储的公钥验证签名,完成认证
WebAuthn 和 CTAP
Passkey 建立在两个关键技术规范之上:
- WebAuthn(Web 认证 API):浏览器与 Web 服务之间的认证协议。通过 JavaScript API,网站可以请求创建和使用 Passkey
- CTAP(客户端到认证器协议):浏览器与设备(认证器)之间的通信协议。支持通过 USB、NFC 和蓝牙与外部认证器交互
与密码的根本区别
密码依赖于服务器和用户都知道同一秘密的共享秘密模型。这种模型容易受到服务器端数据泄露、凭据填充攻击和钓鱼的影响。使用 Passkey,私钥永远不会离开设备,从根本上杜绝了这些攻击。
Passkey 的安全优势
抗钓鱼能力
Passkey 绑定到注册时的域名(origin)。私钥不会在虚假网站的域名上使用,天然具有抵抗钓鱼攻击的能力。即使用户导航到钓鱼网站,Passkey 认证过程也会自动失败。
抗服务器泄露能力
服务器上只存储公钥。即使服务器被黑客入侵公钥泄露,没有私钥也无法登录。数字身份盗窃的风险大幅降低。
抗重放攻击能力
每次认证尝试都会生成唯一的挑战,使重放攻击,即重用过去的认证数据,变得不可能。要深入了解这些概念,可以阅读Web 认证安全指南。
消除密码相关威胁
- 暴力破解攻击:没有密码可以猜测
- 字典攻击:"弱密码"的概念不存在
- 凭据填充:无法重用泄露的密码
- 键盘记录器:没有密码需要输入,键盘记录毫无意义
在主要平台上设置 Passkey
Apple(iPhone / iPad / Mac)
Apple 通过 iCloud 钥匙串同步 Passkey。适用于 iOS 16+、macOS Ventura+。
- 在支持的网站上打开账户设置页面
- 选择"添加 Passkey"或"设置安全密钥"
- 使用 Face ID 或 Touch ID 进行认证
- Passkey 保存到 iCloud 钥匙串,在使用相同 Apple ID 的所有设备上可用
Google(Android / Chrome)
Google 通过 Google 密码管理器管理 Passkey。支持 Android 9+ 和 Chrome 118+。
- 在支持的网站上开始 Passkey 设置
- 使用指纹、面部识别或屏幕锁定 PIN 进行认证
- Passkey 同步到您的 Google 账户,在使用相同账户的 Android 设备和 Chrome 上可用
Microsoft(Windows)
Windows 11 通过 Windows Hello 支持 Passkey。2025 年的更新增加了 Passkey 同步到 Microsoft 账户的功能。
- 在支持的网站上选择创建 Passkey
- 使用 Windows Hello(面部识别、指纹或 PIN)进行认证
- Passkey 存储在 Windows 凭据管理器中
第三方密码管理器
包括 1Password、Bitwarden 和 Dashlane 在内的主要密码管理器支持 Passkey 的存储和同步。这些第三方产品便于跨不同平台使用 Passkey。FIDO2 Passkey 技术书籍可以提供更深入的技术内容。
支持 Passkey 的服务(2025-2026)
支持 Passkey 的服务数量正在快速增长。以下是主要的兼容服务。
主要科技公司
- Google:推荐 Passkey 作为所有 Google 账户的默认认证方式
- Apple:Apple ID、iCloud 和 App Store 支持 Passkey
- Microsoft:Microsoft 账户和 Microsoft 365 支持 Passkey
- Amazon:购物和 AWS 控制台支持 Passkey
社交媒体和通信
- GitHub、X(原 Twitter)、LinkedIn、WhatsApp、PayPal
金融和支付
- PayPal、Stripe 以及部分银行和券商
- 在日本,Yahoo! JAPAN 是早期采用者,截至 2025 年已有超过 5000 万个账户使用 Passkey
与传统双因素认证的比较
双因素认证(2FA)通过在密码之外要求额外的认证因素来增强安全性。然而,基于短信的 2FA 容易受到 SIM 卡交换攻击,TOTP(基于时间的一次性密码)仍然可以在钓鱼网站上输入。Passkey 从根本上解决了这些问题,通过单次操作提供等同于或超过多因素认证的安全性。
挑战与注意事项
设备丢失恢复
由于 Passkey 与设备绑定,当所有设备丢失时的账户恢复是一个挑战。如果启用了云同步(iCloud 钥匙串、Google 密码管理器),在新设备上恢复很简单,但了解云存储的安全影响也很重要。没有同步的情况下,需要确保有替代恢复方法。
跨平台挑战
截至 2025 年,在 Apple、Google 和 Microsoft 生态系统之间共享 Passkey 仍不完全无缝。跨不同平台使用 Passkey 需要基于二维码的近距离认证或第三方密码管理器。
服务覆盖有限
虽然 Passkey 的采用正在增长,但并非所有 Web 服务都支持。在一段时间内,Passkey 与传统密码和 2FA 并用的过渡期将继续。
共享账户处理
在家庭成员或团队共享的账户上使用 Passkey 可能比较复杂。每个成员需要注册各自的 Passkey,或者团队需要使用密码管理器的共享功能。
2025-2026 年最新动态
CXP/CXF 凭据同步协议
FIDO 联盟于 2025 年底发布了凭据交换协议(CXP)和凭据交换格式(CXF)规范,实现了不同密码管理器和平台之间 Passkey 的安全转移。这解决了 Passkey 采用的最大障碍之一,供应商锁定,允许用户在 1Password、Bitwarden、Apple 钥匙串和 Google 密码管理器之间自由迁移凭据。
Passkey 导出/导入标准化
基于 CXP/CXF,主要密码管理器在 2026 年初实现了 Passkey 导出和导入功能。用户现在可以独立备份 Passkey,并在不同生态系统之间迁移而无需在每个服务上重新注册。这一标准化显著加速了企业 Passkey 的采用,因为组织现在可以大规模管理凭据的可移植性。
FIDO2 Level 3 认证
FIDO 联盟于 2025 年引入了 Level 3 认证要求,增加了硬件支持的证明和增强的反钓鱼保护。满足 Level 3 要求的设备提供认证器完整性的密码学证明,使 Passkey 适用于包括金融服务和政府系统在内的高安全性应用。
Passkey 采用加速
根据 FIDO 联盟的数据,截至 2026 年初,支持 Passkey 的网站数量超过 200 万,每月 Passkey 认证次数超过 150 亿。在电子商务和金融服务领域的采用尤为迅速,无密码认证正在成为主要平台新账户注册的默认方式。
Credential Manager API 标准化
W3C 一直在推进 Credential Management API 的扩展,使 Passkey 的创建和管理更加直观。在 2025-2026 年,浏览器自动填充与 Passkey 的集成进一步改善,用户只需从密码字段中选择 Passkey 即可登录。
日本的发展
在日本,数字厅正在推动 My Number 卡与 Passkey 的集成。主要银行和在线服务也在推进 Passkey 支持,预计到 2026 年 Passkey 将成为日本在线服务的标准认证方式。Yahoo! JAPAN 使用 Passkey 的账户已超过 6000 万。
Passkey 迁移清单
按照以下步骤逐步从密码过渡到 Passkey:
总结
Passkey 是一种消除密码根本漏洞的下一代认证技术。在抗钓鱼能力、抗服务器泄露能力和易用性三个关键领域,它显著优于传统的密码加 2FA 方案。兼容服务正在快速扩展,现在是开始 Passkey 迁移的理想时机。从为最重要的账户设置 Passkey 开始,逐步构建无密码环境。在进行 Passkey 迁移的同时,考虑在我们的网站上运行安全检查,审查您当前的浏览器和网络安全状况。