什么是Passkey？

Passkey是一种替代传统用户名和密码的用户认证方法。它不再依赖容易受到网络钓鱼、黑客攻击、键盘记录器、数据泄露和其他安全漏洞影响的旧式登录方式，而是通过Passkey来验证用户的登录凭证。Passkey仅存储在用户设备上，因此不存在被潜在诈骗者截获的密码。

网络安全专业人士长期以来一直强调使用强密码以防止安全漏洞的重要性。然而，由于网络用户经常创建弱密码或重复使用密码，双因素认证（2FA）应运而生。2FA通过电话、短信或发送到用户的包含代码的电子邮件来确认用户登录，从而增加了一个安全检查点。用户随后输入此代码以完成登录过程。不幸的是，恶意行为者已经找到了绕过2FA和标准登录过程的方法。由于密码技术本质上容易受到旨在窃取或绕过凭证的网络钓鱼和其他攻击，2FA只是让欺诈者的工作稍微困难了一些。

Passkey如何工作？

当用户尝试登录使用Passkey技术的网站时，该网站会向他们注册账户时使用的智能手机发送推送通知。当他们使用面部、指纹或个人识别码（PIN）解锁设备时，设备会创建一个唯一的Passkey，并将其传达给他们试图访问的网站。此时，用户即被登录，所有登录信息或生物识别数据均未通过可能不安全的Wi-Fi连接传输，也无需手动输入。

与使用Wi-Fi或其他方法进行用户验证的2FA不同，Passkey使用蓝牙。蓝牙会检查以确保登录设备在附近，进一步限制了诈骗者或黑客访问用户账户的机会。

基于Web Authentication API的Passkey仅适用于创建它们的网站。它们随后存储在用户设备上，而不是物理或基于云的服务器上。

迄今为止，Apple提供了最全面的解释，说明Passkey在其技术生态系统中的工作原理。其iCloud钥匙串服务以速率限制的方式存储其加密密钥，以防止暴力攻击。即使用户的设备丢失或受损，这些密钥也是可恢复的。初次接触Apple世界并设置其首台iOS设备的用户必须首先设置2FA。要添加新设备，用户需要其Apple ID密码和通过推送通知发送到另一台受信任设备或电话号码的六位数代码。

例如，iPhone用户首次使用时设置2FA并建立其Apple ID。当他们想要进行购买或完成其他安全交易时，必须输入其Apple ID密码，并检查其iPhone——或最初用于设置2FA认证的任何设备——以获取发送给他们的六位数代码。当他们输入代码时，新设备即被添加到Apple所谓的由iCloud钥匙串形成的信任圈中。这个信任圈就像一个链条，设备代表在设置过程中添加到链条中的链接。

当用户需要在他们通常不使用的计算机上登录网站时——无论它是Apple、Google还是Microsoft产品——只要启用了Passkey技术，网站上的登录屏幕就会提供一个快速响应代码供他们用手机扫描。在手机上启用蓝牙且手机位于他们尝试登录设备的蓝牙频率范围内时，他们将收到推送通知，要求在手机上使用生物识别或PIN。一旦他们这样做，手机将向网站发出全部清除信号，并允许用户登录。

Passkey的起源

Passkey的想法最初在2009年形成，当时Validity Sensors（2013年被Synaptics收购）和PayPal共同开发了使用生物识别技术替代密码进行在线身份验证的概念。

与其他几位科技领袖一起，他们于2012年7月成立了FIDO（Fast Identity Online）联盟，这是一个网络安全集体。FIDO于2013年2月公开宣布其倡议。Google于2013年4月加入。2014年2月，PayPal和三星推出了首款公开部署的FIDO认证，配合三星的Galaxy S5智能手机。该设备的用户首次可以通过手指滑动验证PayPal，并在无需输入密码的情况下完成交易支付进行在线购物。

FIDO联盟的调查“消费者密码与Passkey趋势”显示了Passkey相对于密码的日益增长的使用。

Passkey比密码更安全吗？

由于每个Passkey都是唯一的，它们往往比密码更安全，因为它们不能在多个网站和平台上重复使用。而且，由于Passkey是自动生成的，用户不需要依赖要么容易记住——不幸的是，也容易被他人猜测——要么过于复杂以至于容易被遗忘的密码。

由于Passkey使用端到端加密，甚至创建它们的公司也无法查看或更改它们。Apple表示其Passkey使用公钥密码学并创建两个密钥。一个密钥是公开的，存储在网站的服务器上；另一个是私有的，存储在用户的设备上，因此只有该用户可以访问。

这意味着在每个Passkey对中生成的私钥仅存储在用户设备上，而不是任何网站的服务器上，使得用户的登录信息无法通过数据泄露或黑客攻击被发现。黑客只能访问公钥，这对他们来说毫无用处，因为它不会授予访问用户账户信息的权限。即使有人成为电子邮件或短信中网络钓鱼链接的受害者，这种努力也会失败，因为用户设备上的Passkey仅适用于创建它的网站。

使用Passkey的公司

对Passkey技术的认识正在加速。在FIDO联盟2022年5月的会议上，Apple、Google和Microsoft公开宣布了一项重大倡议，以推广Passkey作为无密码认证标准，Apple随后在2022年6月宣布了一项新的Passkey功能。该功能在iOS 16和macOS Ventura中首次亮相，集成到iPhone 14中，并成为后续版本的一部分。

Apple Passkey功能使用现有的iOS技术，为其Touch ID和Face ID功能提供动力。支持Passkey的网站使用户能够使用指纹或面部图像而不是密码来创建账户和登录，以验证其凭证。Apple Passkey使用iCloud钥匙串密码管理系统备份Passkey并在用户的所有Apple设备之间同步它们。这意味着用户可以在手机上为网站创建Passkey，然后 later 在使用iPad时使用相同的Passkey登录该网站。

Google Passkey在Chrome浏览器、Android设备和Google账户（包括Gmail和Drive）上使用类似的指纹和面部图像Passkey。

Microsoft通过Windows Hello程序在其Windows 10和11操作系统中包含Passkey。该程序使用户能够使用PIN和生物识别认证（如指纹或面部图像）登录。Passkey也可用于Microsoft 365、Copilot和Xbox账户。这些服务支持Passkey备份和设备同步。

除了Apple、Google和Microsoft之外，还有数百家公司——包括GitHub、Facebook、Instacart、Kayak、Verizon和Zoho——使用Passkey，而且这个名单还在不断增长。

生物识别与Passkey结合使用以验证用户。

对Passkey标准的呼吁

展望未来，安全专业人士正在倡导实施标准，以防止或至少 discouraging 供应商锁定。担忧的是，如果用户从一个供应商的产品切换到另一个供应商，现有的Passkey会发生什么。

一些供应商已经通过变通方法解决了这个问题。例如，Apple允许现有的iPhone Passkey在另一台设备上使用，该设备运行在iOS 16或更高版本上，或Windows机器上，并使用Google Chrome。

标准化努力是否成功还有待观察，但创建新的Passkey如此容易且几乎完全自动化，用户应该能够轻松地在来自不同供应商的新设备上建立凭证。

FIDO联盟设计系统及其发布的其他方法应该有助于鼓励标准化。

Passkey使用的增长

Passkey的许多底层技术已经融入日常科技生活，例如2FA和生物识别认证，这些技术依赖用户的面部或指纹来解锁设备或以其他方式提供认证。

日益增长的安全漏洞和密码管理问题正在促使许多组织放弃密码使用，转而采用Passkey。用户也对管理大量不同密码感到越来越沮丧，这迫使向更安全的替代方案（如Passkey）转变。

在2024年9月和2025年4月，FIDO联盟工作组委托进行了一项关于全球Passkey部署的调查。发现87%的受访决策者已在其组织中部署了Passkey，其中47%推出了物理安全密钥、卡片和同步Passkey的混合使用。

了解身份管理和认证如何作为身份和访问管理框架的一部分进行比较。