Chrome支持iCloud钥匙串中的通行密钥

Chrome 118（目前正在向稳定版渠道推送）包含了对在iCloud钥匙串中创建和访问通行密钥的支持。

首先，我要感谢苹果为此创建了浏览器可使用的API：这需要大量工作，而他们本不必这样做。Chrome长期以来一直支持在macOS上创建受macOS钥匙链保护并存储在本地Chrome配置文件中的WebAuthn凭据。如果您在Chrome中使用过WebAuthn，并且它要求您使用Touch ID（或解锁密码），那么就是这种情况。这一功能长期以来运行良好。

但通行密钥应该是持久的，而永远困在磁盘本地配置文件中的东西并不持久。此外，如果您是macOS和iOS用户，那么在不同设备之间同步通行密钥非常方便，但Google密码管理器尚未在这些平台上覆盖通行密钥。（我们正在努力解决这个问题。）

因此，支持iCloud钥匙串希望对许多人有用。在Chrome 118中，如果您运行的是macOS 13.5或更高版本，您将在Chrome的WebAuthn用户界面中看到一个“iCloud钥匙串”选项：

起初，您不会在自动填充中看到iCloud钥匙串凭据。这是因为您需要授予Chrome访问iCloud钥匙串通行密钥元数据的权限，然后才能显示它们。因此，当您首次选择iCloud钥匙串作为选项时，您会看到以下提示：

如果您接受，那么iCloud钥匙串凭据将出现在自动填充中，并且在您点击使用通行密钥的按钮时出现在Chrome的账户选择器中。如果您拒绝，则不会再被询问。您仍然可以使用iCloud钥匙串，但每次都需要进行一些额外的点击。

您可以在“系统设置”→“网页浏览器的通行密钥访问”中更改主意，或者可以在终端中运行tccutil reset WebBrowserPublicKeyCredential以在全系统范围内重置该权限。（在执行任一操作后重新启动Chrome。）

将通行密钥保存到iCloud钥匙串需要拥有iCloud账户并启用iCloud钥匙串同步。如果您缺少其中任何一项，iCloud钥匙串通行密钥用户界面将提示您启用它们以继续。在macOS上，普通进程无法判断是否启用了iCloud钥匙串同步，至少在不使用我们不会尝试的粗糙技巧的情况下是这样。我们能够清晰检测到的最接近的方法是是否启用了iCloud Drive。如果启用了，当网站请求“平台”凭据时，Chrome将默认触发iCloud钥匙串进行通行密钥创建，希望iCloud钥匙串同步也已启用。（然而，无论iCloud Drive的状态如何，Chrome将在accounts.google.com上默认使用iCloud钥匙串创建通行密钥——作为密码管理器也存在复杂性。）

如果您选择加入Chrome中的统计信息收集，谢谢您，我们将观察这些数字以了解总体上人们使用此功能的成功情况。如果数字看起来合理，我们可能会尝试将iCloud钥匙串设置为更多用户组的默认选项。

如果您不希望创建默认使用iCloud钥匙串，可以在chrome://password-manager/settings中找到控制选项：

我在上面描述了情况有些复杂，但设置只是一个布尔值。因此，如果您从未更改过它，它反映的是Chrome正在执行的近似行为。但如果您设置了它，那么所有情况都将遵循该设置。如果需要全车队控制，企业策略CreatePasskeysInICloudKeychain控制相同的设置。

在macOS 14中，其他密码管理器能够向macOS和iOS系统提供通行密钥。此iCloud钥匙串集成是在Chromium使用macOS 14 SDK构建之前编写的，因此，如果您在macOS 14上安装了这样的密码管理器，其通行密钥在Chrome中将被标记为“iCloud钥匙串”，直到我们能够进行另一次更新。抱歉。