通行密钥

什么是通行密钥

通行密钥 (Passkeys) 是一种基于 FIDO2/WebAuthn 标准的新型认证方式，用于替代传统密码。它允许用户使用智能手机的指纹识别或面部识别、PC 的 Windows Hello 等生物识别技术登录网站和应用。

通行密钥的核心是公钥加密技术。注册服务时，设备内保存私钥，服务器端保存公钥。登录时设备用私钥生成签名，服务器用公钥验证。由于不像密码那样有"共享秘密"在网络上传输，通行密钥从根本上抵御钓鱼攻击和信息泄露。

通行密钥比密码更安全的原因

• 防钓鱼能力：通行密钥在认证时验证域名。在合法网站创建的通行密钥在钓鱼网站上无法工作，从原理上杜绝了在伪造网站上输入凭证的事故。
• 消除泄露风险：服务器上仅保存公钥。即使服务器被入侵，也无法从公钥中恢复通行密钥。凭证填充攻击也无法成立。
• 无法猜测：通行密钥是加密生成的密钥对，通过暴力破解猜测实际上是不可能的。
• 无重复使用问题：每个服务生成唯一的密钥对，即使一个服务被入侵也不会影响其他服务。

通行密钥的同步与管理

通行密钥分为"设备绑定型"和"同步型"两种。

设备绑定型绑定到特定硬件 (如 YubiKey 等安全密钥)，无法复制到外部。最为安全，但设备丢失后将无法访问。

同步型通行密钥通过 Apple 的 iCloud 钥匙串、Google 密码管理器或密码管理器 (1Password、Bitwarden 等) 在多个设备间同步。便利性高，设备丢失时也可从其他设备访问。

同步型通行密钥的安全性取决于同步账户 (Apple ID、Google 账户等) 的安全性。请务必为同步账户设置强力的双因素认证。

支持情况与迁移要点

截至 2026 年，通行密钥正在快速普及。Google、Apple、Microsoft、Amazon、GitHub、PayPal 等主要服务已支持。

向通行密钥迁移建议采用渐进方式。

1. 首先为最重要的账户 (邮箱、金融、云存储) 设置通行密钥
2. 设置通行密钥后，暂时保留密码 + 2FA 作为备用方式
3. 熟悉通行密钥使用后，逐步扩展到更多服务
4. 使用密码管理器集中管理通行密钥，可使多设备使用更加顺畅

对于尚不支持通行密钥的服务，使用密码管理器生成的强密码配合 2FA 仍是最佳方案。

FIDO2/WebAuthn 技术架构与跨设备认证

通行密钥的基础 FIDO2 由 WebAuthn (Web Authentication API) 和 CTAP (Client to Authenticator Protocol) 两个规范组成。

注册流程：用户创建通行密钥时，浏览器的 WebAuthn API 请求认证器 (设备的生物识别模块或安全密钥) 生成密钥对。认证器将私钥保存在安全区域 (TPM、Secure Enclave)，并将公钥发送到服务器。此时服务的来源 (域名) 会绑定到密钥上。

认证流程：服务器生成随机挑战 (nonce) 发送给浏览器。浏览器通过 WebAuthn API 将挑战传递给认证器，用户完成生物识别验证后，私钥对挑战进行签名。服务器用保存的公钥验证签名，完成认证。整个过程中没有任何秘密信息在网络上传输。

跨设备认证 (混合传输)：当需要在 PC 上登录但通行密钥在智能手机上时，可使用 CTAP 2.2 的混合传输。PC 屏幕显示二维码，用智能手机扫描后通过蓝牙低功耗 (BLE) 进行近距离确认，在智能手机上完成生物识别认证即可登录 PC。

各平台支持情况：iOS 16 及以上和 macOS Ventura 及以上通过 iCloud 钥匙串同步通行密钥。Android 通过 Google 密码管理器支持，与 Chrome 集成。Windows 通过 Windows Hello 提供设备绑定型通行密钥，同步型通行密钥通过 1Password、Bitwarden 等第三方密码管理器支持。Linux 目前主要通过浏览器支持安全密钥。

组织迁移策略：企业从密码迁移到通行密钥时，渐进式方法比全公司一次性切换更有效。首先在 IT 和安全团队进行试点部署，发现运营问题。然后设置通行密钥和密码共存期，让用户按自己的节奏迁移。最终过渡到强制使用通行密钥，但务必保留安全密钥作为备用方案。

常见误解

通行密钥会将生物信息发送到服务器

生物识别认证完全在设备内完成，指纹或面部数据不会发送到服务器。生物识别仅用于授权访问设备内存储的私钥。

设置通行密钥后丢失手机就无法登录了

同步型通行密钥通过 iCloud 钥匙串或 Google 密码管理器备份到云端。在新设备上登录账户即可恢复通行密钥。

通行密钥与密码 + 2FA 的区别

相关术语