在 FIDO 联盟的引导下,并由 Apple、Google 和 Microsoft 支持,passkeys正逐步接近主流可用性。使用 passkeys 设置新登录会生成一对密钥:网站接收公钥,而用户保留私钥。登录过程使用非对称加密,用户通过证明自己拥有私钥来进行身份验证,该私钥存储在用户设备上,永远不会发送到网站。访问 passkeys 通过生物识别或 PIN 码保护。passkeys 可以在大科技生态系统中存储和同步,如 Apple 的 iCloud 钥匙串、Google 密码管理器或 Windows Hello。对于跨平台用户, 客户端到身份验证器协议 (CTAP) 使得 passkeys 可以存储在创建密钥或需要登录的设备之外的其他设备上。对 passkeys 最常见的反对意见是它对技术不太熟悉的用户来说是个挑战,而我们认为这种观点实际上是在自我否定。这类用户通常也不善于管理密码,因此他们最能从替代方法中受益。实际上,使用 passkeys 的系统在必要时可以回退到更传统的认证方式。
“密码的终结”可能终于要到来了。在 FIDO 联盟的指导和苹果、谷歌、微软的支持下, passkeys 的可用性正在接近其他主流身份验证方式。当用 passkeys 注册新的登录信息时,它会产生一对密钥:网站收到公钥而用户保留私钥。它使用非对称加密处理登录。用户需要证明他们拥有私钥,但与密码不同,私钥不会被发送到网站上。在用户的设备上,会使用生物识别技术或 PIN 码来保护对 passkeys 的访问。
Passkeys 可以在各大软件生态中存储和同步,例如苹果的 iCloud 钥匙链、谷歌的密码管理器或微软的 Windows Hello。在大多数情况下,该功能只适用于最新的操作系统和浏览器版本。值得注意的是,Windows 10 并不支持在 Windows Hello 中存储密码。不过幸运的是,客户端到认证器协议 (CTAP)让 passkeys 可以被保存在创建密钥或需要密钥登录的设备之外的不同设备上。例如,一个用户在 Windows 10 上为一个网站创建了一个 passkeys,并通过扫描二维码将其存储在 iPhone 上。因为密钥是通过 iCloud 同步的,所以用户可以从他们的 MacBook等其他 Apple 生态设备上登录到该网站。Passkeys 也可以存储在硬件安全密钥上,在 iOS 和 Android 上也提供了对原生应用的支持。
尽管仍有一些可用性问题——例如,登录时需要设备支持并开启蓝牙,因为扫描二维码时要检查设备是否接近—— passkeys 依然是值得考虑的。我们建议你在 passkeys.io 上试用,以了解它们的可用性。
