通行密钥工作原理：您的无密码之旅从这里开始

技术背景与安全挑战

过去几十年间，用户名和密码泄露一直是造成最严重、最具破坏性且成本最高的数据泄露事件的根源。尽管持续有关于如何选择和使用强密码以及如何避免社会工程学攻击的建议，但这些措施在阻止威胁行为者方面收效甚微。

额外的认证因素，如通过短信或电子邮件传输一次性密码（OTP），被广泛视为对有缺陷系统的临时修补措施，并且本身被认为不安全。在大多数实现中，短信和电子邮件都不涉及端到端加密，而电子邮件特别容易通过各种技术被拦截（具有讽刺意味的是，其中一种技术就是密码泄露）。

作为应对方案，过去五年中，一些大型科技公司（作为FIDO联盟合作）一直在准备一种新型无密码凭证，旨在取代用户名和密码。这种凭证在技术上称为FIDO2凭证，但更常被称为通行密钥。

通行密钥与密码的关键区别在于：与密码不同，使用通行密钥时，用户永远不必分享他们的秘密来获得对安全系统的访问权限。相反，通行密钥依赖公钥密码学，使用户永远不必向他们的网站和应用程序（统称为"依赖方"）提交像密码这样的秘密。

但通行密钥存在"先有鸡还是先有蛋"的问题。仅仅因为技术已经存在并不意味着我们可以直接使用它。在我们这样做之前，我们使用的所有网站和应用程序必须支持通行密钥作为一种凭证和认证形式。

虽然一些大型科技公司——如Apple、Google和Microsoft（开发该标准的三家组织）——现在支持通行密钥作为登录其服务的凭证，但大多数依赖方尚未跟上。

为了说明从发现到注册、认证再到删除的典型通行密钥旅程，我将使用shopify.com作为测试对象。我使用的是运行Chrome的Mac，并安装了Bitwarden密码管理器扩展。

与大多数依赖方一样，Shopify从传统的用户名和密码开始。一旦建立了这些传统凭证并登录shopify.com，您将看到创建商店的机会。

点击"管理账户"后，您将进入Shopify的账户偏好设置区域，左上角有两个菜单选择：常规和安全。与许多依赖方一样，Shopify的通行密钥功能可以在安全或密码区域找到。

打开安全偏好设置后，您将看到"创建通行密钥"的选项。从Shopify的实现（与许多其他依赖方的实现不同）可以看出，Shopify指出创建通行密钥是"推荐的"，简要解释了通行密钥如何可以"代替密码使用"，并提供了了解有关通行密钥更多信息的链接。

许多通行密钥支持者讨论通行密钥作为一种使用指纹、面部识别或PIN码登录的方法。后一点不一定准确，并且仍然是通行密钥生态系统中的一个混淆和争议点。

到目前为止，我们只找到了"创建通行密钥"按钮的路径，这并不总是容易找到。在下一部分中，我将点击该按钮触发实际的通行密钥注册过程——或者一些专家称之为"仪式"。正如您将看到的，这段旅程变成了一个技术挑战，需要一些规划和前瞻性思考。

通行密钥工作原理系列：概述 | 发现 | 选择 | 注册 | 认证 | 删除