Chrome支持iCloud钥匙串中的通行密钥

ImperialViolet

Chrome 118（目前正在向稳定频道推送）包含了对在iCloud钥匙串中创建和访问通行密钥的支持。

首先，我要感谢苹果创建了这个浏览器可以使用的API：这需要大量工作，而他们本不必这样做。Chrome长期以来一直支持在macOS上创建受macOS钥匙链保护并存储在本地Chrome配置文件中的WebAuthn凭据。如果您在Chrome中使用过WebAuthn，并且它要求您使用Touch ID（或解锁密码），那么就是这种情况。长期以来，它一直运行良好。

但通行密钥应该是持久的，而永远困在磁盘上的本地配置文件中的东西并不持久。此外，如果您是macOS + iOS用户，那么在不同设备之间同步通行密钥非常方便，但Google密码管理器尚未在这些平台上覆盖通行密钥。（我们正在努力。）

因此，支持iCloud钥匙串希望对许多人有用。使用Chrome 118，如果您运行的是macOS 13.5或更高版本，您将在Chrome的WebAuthn UI中看到一个“iCloud钥匙串”选项：

起初，您不会在自动填充中看到iCloud钥匙串凭据。这是因为您需要授予Chrome权限以访问iCloud钥匙串通行密钥的元数据，然后才能显示它们。因此，当您第一次选择iCloud钥匙串作为选项时，您会看到以下内容：

如果您接受，那么iCloud钥匙串凭据将出现在自动填充中，并且在您点击按钮使用通行密钥时出现在Chrome的账户选择器中。如果您拒绝，那么您将不会再被询问。您仍然可以使用iCloud钥匙串，但每次都需要进行一些额外的点击。

您可以在系统设置→网页浏览器的通行密钥访问中改变主意，或者可以从终端运行tccutil reset WebBrowserPublicKeyCredential来重置该权限系统范围。（执行任一操作后重新启动Chrome。）

在iCloud钥匙串中保存通行密钥需要拥有iCloud账户并启用iCloud钥匙串同步。如果您缺少其中任何一项，iCloud钥匙串通行密钥UI将提示您启用它们以继续。macOS上的常规进程无法判断iCloud钥匙串同步是否启用，至少没有我们不打算尝试的粗糙技巧。我们能够干净检测到的最接近的方法是是否启用了iCloud Drive。如果启用了，当网站请求“平台”凭据时，Chrome将默认触发iCloud钥匙串进行通行密钥创建，希望iCloud钥匙串同步也已启用。（然而，无论iCloud Drive的状态如何，Chrome在accounts.google.com上创建通行密钥时默认使用iCloud钥匙串——同时作为密码管理器也存在复杂性。）

如果您选择加入Chrome的统计数据收集，谢谢您，我们将关注这些数字以了解人们总体上对此的成功程度。如果数字看起来合理，我们可能会尝试为更多用户组将iCloud钥匙串设为默认。

如果您不希望创建默认使用iCloud钥匙串，chrome://password-manager/settings中有一个控制选项：

我上面描述了事情有点复杂，但设置只是一个布尔值。因此，如果您从未更改过它，它反映了Chrome正在做的事情的近似值。但如果您设置了它，那么每种情况都会尊重该设置。如果需要在整个车队中控制此设置，企业策略CreatePasskeysInICloudKeychain控制相同的设置。

随着macOS 14的推出，其他密码管理器能够在macOS和iOS上向系统提供通行密钥。此iCloud钥匙串集成是在Chromium使用macOS 14 SDK构建之前编写的，因此，如果您恰好在macOS 14上安装了这样的密码管理器，其通行密钥在Chrome中将被标记为“iCloud钥匙串”，直到我们能够进行另一次更新。抱歉。