Passkeys 终极指南 2025

您需要了解的所有关于无密码认证的未来

15 分钟阅读 更新日期:2025 年 6 月 4 日

什么是通行密钥?

通行密钥是一种现代身份验证方法,旨在取代传统密码。它们代表了安全登录技术的下一次演进,提供更简单的用户体验,同时大大增强安全性。

要点:

与密码不同,通行密钥永远不会离开您的设备,无法被网络钓鱼、数据泄露盗取,也无法在多个服务中重复使用。

通行密钥由 FIDO 联盟 (Fast Identity Online) 与 Apple、Google 和 Microsoft 等行业巨头合作开发,现在大多数主流平台均已支持,领先的在线服务正迅速采用。

无密码的未来

通行密钥代表了业界致力于完全摆脱密码的承诺,解决了基于密码身份验证固有的根本安全缺陷。

通行密钥如何工作

通行密钥基于 WebAuthn 标准 (网页认证) 和 FIDO2 技术运行。通行密钥不是将秘密(密码)分享给网站,而是使用公钥密码学:

  1. 密钥对生成: 当您创建通行密钥时,您的设备会为该网站或应用生成一对唯一的公钥/私钥。
  2. 私钥存储: 私钥始终保留在您的设备上或平台的安全同步系统(如 iCloud 钥匙串、Google 密码管理器)中。
  3. 公钥注册: 只有公钥会与服务共享,服务将其存储用于验证您后续的登录。
  4. 认证: 登录时,服务会向您的设备发送一个挑战,该挑战由您的私钥签名,服务使用您的公钥验证签名。
  5. 设备验证: 访问私钥需要通过设备的身份验证方式(指纹、面部识别、PIN 码)。

技术组件

  • FIDO2: 无密码身份验证的总体标准
  • WebAuthn: 允许网站实现通行密钥身份验证的网页 API
  • CTAP: 客户端到认证器协议 – 启用与外部认证器的通信
  • 认证器: 存储私钥的设备或安全密钥

传统密码

共享秘密

通行密钥

公钥密码学

这种方法确保即使服务被攻破,攻击者也只能获得公钥,而没有相应的私钥则毫无用处,因为私钥安全地存储在您的设备上。

相对于密码的优势

防钓鱼

与密码不同,通行密钥绑定到特定网站。即使您被诱导访问假冒网站,您在真实网站的通行密钥在该假冒网站上也无法使用。

数据泄露保护

当服务被黑客入侵时,不会泄露任何敏感的通行密钥数据。服务器端只存储公钥,没有私钥,攻击者无法利用。

简化体验

无需记忆复杂密码。身份验证通过设备的生物识别或 PIN 码完成——这是您解锁手机或电脑时使用的相同方法。

跨设备同步

现代通行密钥实现(通过 Apple、Google 或 Microsoft)会在设备之间安全地同步您的凭证,既提供便捷又不影响安全。

对组织的优势:

  • 减少因密码重置产生的客户支持成本
  • 降低账户被接管和欺诈的风险
  • 改善用户体验,提高转化率
  • 符合不断发展的安全标准和法规

平台实现

三大平台提供商已共同合作,确保通行密钥成为通用标准。以下是每个平台如何实现通行密钥技术:

Logo Apple

Apple 通行密钥

Apple 通过 iCloud 钥匙串实现通行密钥,可实现所有登录同一 Apple ID 的 Apple 设备之间的无缝同步。

  • 支持 iOS 16 及以上和 macOS Ventura 及以上
  • 使用 Face ID 或 Touch ID 进行生物识别验证
  • 通过 Apple 的 Handoff 技术实现跨设备认证
  • 通行密钥可在“设置 → 密码”中查看和管理
Logo Google

Google 通行密钥

Google 的实现将通行密钥存储在 Google 密码管理器中,并在 Android 设备和 Chrome 浏览器之间进行同步。

  • 支持 Android 9 及以上以及所有平台的 Chrome
  • 使用指纹、面部识别或屏幕锁定进行验证
  • 针对非 Google 平台提供扫描二维码的跨设备流程
  • 可在 passwords.google.com 或设备设置中管理
Logo Microsoft

Microsoft 通行密钥

Microsoft 将通行密钥与 Microsoft Authenticator 和 Windows Hello 集成,支持消费者和企业场景。

  • 支持 Windows 10/11 及 Windows Hello
  • 扩展至 Microsoft 帐户和 Microsoft Authenticator 应用
  • 与 Azure AD 集成以支持企业用例

这些平台还支持跨生态系统使用通行密钥。例如,您可以通过跨平台身份验证流程或硬件安全密钥在 Apple 设备上使用 Google 通行密钥。

设置通行密钥

设置通行密钥的流程因平台和服务而略有不同,但通常遵循以下步骤:

创建您的第一个通行密钥

  1. 访问支持的站点 并进入帐户安全设置或注册/登录时。
  2. 查找通行密钥选项,例如“创建通行密钥”、“设置无密码登录”或类似选项。
  3. 使用设备的生物识别(面部识别、Touch ID、指纹)或设备 PIN 码进行身份验证。
  4. 确认创建通行密钥——您的设备将处理密钥生成的技术细节。
  5. 验证完成——您的通行密钥已创建并绑定到您的帐户。

Apple 设备设置

  1. 确保运行 iOS 16 及以上或 macOS Ventura 及以上
  2. 登录您的 Apple ID
  3. 在网站注册时选择“创建通行密钥”
  4. 使用 Face ID/Touch ID 验证
  5. 通行密钥会自动同步到您的 Apple 设备

Android 设备设置

  1. 确保 Android 9 及以上并安装 Google Play 服务
  2. 在设备上登录您的 Google 帐户
  3. 在受支持的网站上选择“创建通行密钥”
  4. 使用指纹/面部识别/屏幕锁定验证
  5. 通行密钥保存到 Google 密码管理器

跨设备使用通行密钥

在新设备上登录时:

  1. 在登录界面输入您的用户名
  2. 如果提示使用另一设备的通行密钥:
    1. 使用手机扫描显示的二维码
    2. 在手机上使用生物识别验证
    3. 身份验证将自动完成
  3. 对于同一生态系统的设备,流程可能会自动进行

专业提示:

考虑在硬件安全密钥上创建通行密钥作为备份,以防您失去对设备或帐户的访问。

主要支持通行密钥的服务

通行密钥在主要在线服务中迅速普及。以下是一些在 2025 年已支持通行密钥认证的知名平台:

Google

所有 Google 服务

Apple

Apple ID 及服务

Microsoft

Microsoft 帐户

PayPal

支付服务

eBay

交易平台

Shopify

电子商务平台

Instagram

社交媒体

Facebook

社交媒体

Amazon

购物

Spotify

音乐流媒体

Dropbox

云存储

GitHub

代码仓库

2025 年采用趋势

在 2025 年,通行密钥的采用已在多个行业显著扩大:

  • 银行与金融: 主要银行现已提供通行密钥登录以提升安全性
  • 医疗保健: 患者门户日益支持通行密钥以符合 HIPAA 规范
  • 政府服务: 一些政府数字服务现已接受通行密钥
  • 电子商务: 大多数主要零售商在结账时支持通行密钥
  • 企业系统: B2B 平台越来越多地提供通行密钥认证

硬件安全密钥

硬件安全密钥为存储通行密钥提供了一种物理替代方案,提供更高的安全性以及在您无法访问主要设备时的备份选项。

YubiKey

YubiKey

Yubico 的领先安全密钥,支持 FIDO2,有多种形态,包括 USB-A、USB-C、NFC 和 Lightning。

了解有关 YubiKey 的更多信息 →
Google Titan

Google Titan

Google 自家的安全密钥系列,具有 FIDO2 认证,提供 USB-C、USB-A 和蓝牙选项,实现多样化的身份验证。

了解有关 Titan 密钥的更多信息 →
Nitrokey

Nitrokey

开源安全密钥,符合 FIDO2 标准,专为注重安全的用户提供透明度和可审计性。

了解有关 Nitrokey 的更多信息 →

考虑的关键功能

  • 连接性: USB-A、USB-C、NFC、蓝牙、Lightning
  • 便携性: 尺寸、钥匙链选项、耐用性
  • 生物识别: 一些密钥提供指纹验证
  • 多协议: 支持 FIDO2、U2F、PGP 等
  • 电池寿命: 针对蓝牙型号
  • 价格范围: 根据功能在 25–85 美元之间

将硬件密钥与通行密钥一起使用:

  1. 购买兼容 FIDO2 的安全密钥
  2. 在创建通行密钥时,选择使用安全密钥选项
  3. 按照提示连接并设置您的密钥
  4. 将安全密钥存放在安全的地方以作备份

企业采用

对于企业来说,通行密钥在显著提高安全性的同时还能降低 IT 支持成本。以下是企业如何实施通行密钥技术:

企业实施路线图

  1. 评估技术需求

    评估您的身份提供者是否支持通行密钥,并确保您的应用能够与 WebAuthn 配合使用。

  2. 从试点团队开始

    从 IT 人员或技术精通的部门入手,以便发现集成挑战。

  3. 制定恢复流程

    为处理设备丢失、员工离职和帐户恢复创建流程。

  4. 用户培训

    通过文档和研讨会让员工了解通行密钥的优势和使用方法。

  5. 全面部署

    在企业范围内部署,并提供支持渠道以帮助用户。

企业平台支持

Microsoft Entra ID(Azure AD)

  • 支持员工身份的通行密钥
  • 与 Windows Hello for Business 集成
  • 与条件访问策略集成

Google Workspace

  • 通过管理控制台管理通行密钥
  • 为组织提供部署控制
  • 安全报告与证明

Okta

  • WebAuthn 通行密钥集成
  • 渐进式注册选项
  • 集中管理与报告

Auth0

  • 支持 FIDO2 认证器
  • 可定制的认证流程
  • 适合开发者的 API 文档

业务优势:

  • 降低成本:密码重置工单减少 50–70%
  • 安全性增强:消除基于密码的攻击
  • 合规性提升:符合最新法规要求
  • 用户满意度:为员工提供简化的登录体验

认证的未来

虽然通行密钥在很大程度上优于密码,但认证领域仍在不断演进。以下是未来几年的趋势:

持续融合

我们将看到平台认证器之间进一步整合,更好的跨平台体验和互操作性将成为常态,而非例外。

生物识别增强

生物识别技术的进步将使认证更加无缝,例如基于行为模式的被动持续认证。

去中心化身份

基于区块链的身份系统可能会补充通行密钥,让用户对其数字身份及其在服务间的共享方式拥有更多控制权。

监管框架

各国政府有关数字身份和认证的法规将继续演进,或将使无密码认证成为合规要求。

认证时间线

2020–2022:无密码基础

FIDO2 标准成熟,平台支持开始

2023–2025:通行密钥主流采用

跨平台支持,消费者认知增长

2026–2028:先进生物识别集成

行为生物识别,情境认证

2029 及以后:去中心化身份生态系统

用户控制的身份成为主流

为未来做准备

要保持领先地位,请:

  • 现在就采用通行密钥,因为它们正在成为新标准
  • 考虑将硬件安全密钥作为可靠备份选项
  • 关注 FIDO 联盟和平台提供商的更新
  • 参与新认证技术的早期访问计划
  • 在组织内倡导无密码采用

结论

通行密钥代表了身份验证技术的重大飞跃,纠正了密码的根本缺陷,同时提升了用户体验。通过消除网络钓鱼漏洞、防止凭证填充攻击,并减轻用户管理密码的负担,通行密钥有望成为在线身份验证的新标准。

随着越来越多的服务支持通行密钥,用户将逐步迈向无密码的未来,在那里安全性与便捷性不再是权衡,而是身份验证体验的互补要素。

无论您是希望提升个人安全性的个人用户,还是希望加强身份验证基础设施的组织,通行密钥都提供了一个今天即可使用的有力解决方案。

附加资源