通行密钥

通行密钥
passˌkee 名词

密钥是基于 FIDO 标准的 FIDO 身份验证凭证,允许用户使用与解锁设备相同的过程(生物识别、PIN 或图案)登录应用程序和网站。通行密钥是 FIDO 加密凭证,与网站或应用程序上的用户帐户相关联。使用通行密钥,用户不再需要输入用户名和密码或其他因素。相反,用户使用他们用于解锁设备的相同过程(例如,生物识别、PIN、图案)批准登录。

单词 passkey 是一个普通名词;可以按照您引用 password 的方式来考虑它。它应该用小写写,除非在句子开头或在标题中使用。术语 passkey(和复数形式的 passkeys)是一个跨平台的通用术语,而不是与任何特定平台相关的功能。

为安全而生

根据 Verizon 的 2024 年数据泄露调查报告网络钓鱼的总体报告率在过去几年中一直在增长。 凭据泄露和漏洞利用也是日益严重的安全问题。

通行密钥 具有防网络钓鱼功能,在设计上是安全的。它们本质上有助于减少网络犯罪分子的攻击,例如网络钓鱼、撞库和其他远程攻击。使用密钥,无需窃取密码,也没有可用于延续攻击的登录数据。

与传统身份验证和多重身份验证相比,密钥方法提供了改进的安全模型。更棒的是,通行密钥也更易于用户使用,并且与密码相比,成功登录率提高了 20%。有关更多信息,请参阅 通行密钥 安全性

轻松快速的登录

FIDO 身份验证易于使用。个人和组织正在迅速采用密钥。在 FIDO Alliance最近委托进行的一项独立调查中,53% 的人 表示 至少在他们的一个账户上启用了通行密钥,22% 的人在他们可能的所有账户上都启用了通行密钥。

通行密钥的好处

随着密钥使用量的增加,实施密钥支持的组织将获得以下好处:

最终用户体验的改进

  • 更高的登录成功率
  • 更快的登录时间
  • 更安全、更可靠、更快速的在线体验
  • 跨设备和生态系统可用性

业务改进

  • 更高的登录成功率、更高的转化率、重复购买和更少的停机时间
  • 减少网络钓鱼、撞库和攻击面
  • 降低购物车放弃率
  • 减少帐户恢复期间的密码重置需求
  • 减少对客户支持的需求
  • 提高客户忠诚度和保留率

降低与以下相关的成本:

  • 短信等身份验证方法的服务费用
  • 实时监控和保护恶意行为者
  • 传统身份验证解决方案的持续强化
  • 由于忘记密码和帐户锁定而重置帐户

从这些示例中,您可以看到密钥对您的组织和最终用户都有好处。

您可以查看最新的用户采用趋势 https://fidoalliance.org/content/research/

开始使用 通行密钥

FIDO 提供了多个与密钥相关的资源。以下是您探索密钥时可以从以下位置开始,并在您准备好实现对密钥的支持时提供帮助。

  • 通行密钥 Central – 为寻求了解有关如何使用密钥的更多信息的利益干系人的公共资源。
  • Use Cases (使用案例 ) – 了解各种密钥使用案例的参考。
  • 设计准则 – 以密钥的使用者使用案例的设计模式为中心的设计准则。
  • 通行密钥 Directory – 了解企业和组织如何利用 FIDO 标准创建无密码身份验证,从而为其员工和客户提供安全登录。
  • 获取 通行密钥 图标 – 密钥图标向用户表明,他们无需密码即可安全轻松地登录其网站或应用程序。
  • 通行密钥 解释器视频 – 观看 2024 年密钥解释器视频,帮助您开始使用 Passkeys。

立即访问 passkeycentral.org

通行密钥 中央

通行密钥 常见问题

通行密钥 可以替代密码。

密码是可以记住和输入的东西,而密钥是存储在个人设备上的秘密,用户以与解锁设备相同的方式解锁(生物识别、PIN、图案等)。

与密码不同的是,通行密钥可以抵御网络钓鱼,始终保持强大功能,而且在设计上没有共享的秘密。

通行密钥 简化了应用程序和网站的帐户注册,易于使用,适用于用户的所有设备,甚至适用于物理附近的其他设备。

从技术角度来看,密钥是用于无密码身份验证的 FIDO 凭证。 通行密钥以加密密钥对取代密码,可防钓鱼,提高登录安全性,改善用户体验。 加密密钥由终端用户设备(电脑、手机或安全密钥)提供,用于用户身份验证。 通行密钥 可以在用户的设备之间安全同步,也可以绑定到特定设备(device-bound passkeys)。

当用户被要求登录应用程序或网站时,用户会使用与解锁其设备(手机、电脑或安全钥匙)时相同的生物特征、PIN码或设备密码来批准登录。 应用程序或网站可以使用这种机制代替传统的用户名和密码。

使用相同的标准(通常称为 FIDO2(WebAuthn 和 CTAP))来部署带有通行密钥的 FIDO 以进行登录。WebAuthn 标准涵盖了管理通行密钥的浏览器 API。

“通行密钥”是一个普通名词,就像“密码”一样。 它应该用小写写,除非在句子开始时。

“通行密钥”(复数形式为“passkeys”)是一个跨平台通用术语,而不是与任何特定平台绑定的功能。

当需要描述时,通过云服务在用户设备之间同步的密钥通常称为“synced passkeys”,而从未离开单个设备(包括 UAF 应用程序上的密钥)称为“device-bound passkeys”。

是的。 用户设备(手机、电脑、安全钥匙)目前进行的本地生物识别处理没有任何变化。 生物识别信息和处理将继续留在设备上,绝不会发送到任何远程服务器上,服务器只看到生物识别检查成功的保证。

密钥的主要用例是将密码替换为帐户身份验证的第一个/主要因素。由于通行密钥可以抵御网络钓鱼且易于使用,因此它们还可以取代传统的多因素身份验证流程,例如密码加 SMS OTP。密钥还有其他用例,例如在线支付场景、身份钱包和汽车等。

多年来,由于密码重复使用和数据库漏洞的普遍存在,密码一直是网络钓鱼攻击和凭证填充攻击的目标。

由于密码这一主要因素在多个方面存在根本性缺陷,因此业界普遍采用了分层附加第二因素的方法。 但不幸的是,最流行的第二因素形式(例如一次性密码 (OTP) 和电话批准)既不方便,又容易被网络钓鱼。

通行密钥 是一个主要因素,单独来看,它比“密码 + OTP”或“密码 + 电话批准”的组合更安全。

密钥提供程序负责创建和管理用户的密钥。密钥提供商可以是浏览器或操作系统供应商,其中密钥存储在内置凭据管理器(例如 iCloud 钥匙串或 Google 密码管理器)中并同步,也可以是第三方提供商,其中密钥存储在第三方应用程序或浏览器扩展(例如 1Password 或 Dashlane)中并同步。

是的。 通行密钥 同步是端到端加密的,密钥提供商拥有强大的账户安全保护。

同步对于 FIDO Alliance 实现其使命至关重要,即通过在尽可能多的地方替换密码,使登录更轻松、更安全。

这是因为,取代密码意味着在三个方面与密码“竞争”:

  • 速度:应比创建或使用密码更快。
  • 方便性:至少应与使用密码同样方便,甚至更方便。
  • 安全性:应防网络钓鱼,并保证每个应用程序/网站/服务的唯一性。

速度
创建密钥消除了用户遵守密码复杂性要求的需要。 注册只需进行生物识别认证或输入PIN码,随后使用通行密钥登录也只需进行生物识别认证或输入PIN码,两者都比输入密码更快。

方便
密码替换的可用性必须与密码的便利性相竞争,而密码的主要可用性优势之一是它们可以在任何设备上使用。

同步意味着使用同一密钥提供程序的用户的所有设备都可以使用密钥。 与密码一样,从其他设备访问网站也不需要经过凭证注册/创建流程—通过对FIDO 联盟客户端到验证器协议(CTAP)的增强,支持跨设备登录,该协议使用蓝牙低功耗(BLE)来验证物理距离。

如果加密密钥绑定在用户的计算机或移动设备上,那么每次用户更换新设备时,RP就必须重新使用其他身份验证方法(通常是基于知识的凭据,如密码)。 在实践中,这通常意味着首次在新设备上登录会很不方便,而且会很容易被网络钓鱼。

通行密钥可以解决这个问题,因为在用户需要的时候,通行密钥就会出现在用户的设备上—从该设备第一次登录网站开始。 最后,用户经常忘记密码并且不设置备用电子邮件和电话号码。 有了通行密钥,用户只要带着设备就能登录,没有什么会被忘记的。 由于通行密钥可以备份,因此可以更好地防止丢失。

安全
通行密钥是 FIDO 凭证,允许依赖方(不断面临网络钓鱼、撞库、密码数据库泄露等威胁)用 FIDO 凭证替换密码。 FIDO为依赖方提供基于非对称加密技术的挑战—响应认证协议。 这意味着可以防止网络钓鱼,并消除服务器上的敏感机密,从而在安全性方面向前迈出了一大步。

抵御网络钓鱼是 FIDO 身份验证的核心设计目标。 无论加密密钥是否与硬件绑定,都能在登录时实现这一目标。 此外,由于没有密码可供窃取,密码数据库的漏洞(可能成为黑客的目标)不再构成威胁。

RP 使用内置的 WebAuthn API(适用于网站)和平台 FIDO API(适用于应用程序)来练习通行密钥进行登录。

所有主流操作系统、Internet 浏览器和第三方密钥提供商都支持 通行密钥。

当用户在其任何设备上创建密钥时,该密钥会使用同样登录到同一用户帐户的同一密钥提供商同步到用户的所有其他设备。因此,在一台设备上创建的密钥在所有设备上都可用。

值得注意的是,如果用户获得新设备并使用其密钥提供商进行设置,则用户的密钥将同步并可供在新设备上登录。

FIDO 为此用例定义了跨设备身份验证。跨设备身份验证允许用户使用 QR 码通过其设备登录。

FIDO 跨设备身份验证 (CDA) 允许使用一台设备的密钥在另一台设备上登录。例如,您的手机可以链接到您的笔记本电脑,允许您使用手机中的密钥登录笔记本电脑上的服务。

CDA 由使用“混合”传输的 FIDO 客户端到Authenticator 协议 (CTAP) 提供支持。CTAP 由身份验证器和客户端平台实施,而不是由依赖方实施。

FIDO跨设备认证流程利用CTAP 2.2,使用蓝牙低功耗(BLE)来验证物理距离,但不依赖蓝牙安全属性来保证登录的实际安全性。 CTAP传输被命名为“混合”,它在标准蓝牙安全特性的基础上使用了额外一层标准加密技术来保护数据。

通行密钥 利用多种因素进行身份验证:通行密钥保存在用户的设备上(用户“拥有”),并且 — 如果 RP 请求用户验证 — 只能由用户使用生物识别或 PIN(用户“是”或“知道”的东西)来使用。

RP 可能担心攻击者可以通过密钥提供商帐户的单个因素(例如密码)获得密钥。然而,在实践中,情况通常并非如此:密钥提供商在对用户进行身份验证并将密钥恢复到其设备时,会考虑用户密码之外的多个信号,有些对用户可见,有些则不可见。

需要注意的是,一些监管制度仍需发展,以承认通行密钥是正式列出的多因素形式之一。 这是FIDO联盟积极参与的一个领域。

如果用户使用跨平台密钥提供程序,例如 Google Password Manager 或 Bitwarden,则在其新设备上配置提供程序将使他们的密钥在该设备上可用。

如果用户将密钥存储在 FIDO 安全密钥上,则可以使用该密钥在新设备上安全地进行身份验证。

如果用户没有使用跨平台密钥提供程序,并且仍然拥有其旧设备,则用户可以使用旧设备(例如 iOS 设备)上的密钥在新设备(例如 Android 设备)上登录其帐户。登录后,用户可以在新设备的提供商中创建密钥。

在其他情况下,RP 可以将从新设备(可能来自不同供应商)登录视为正常的帐户恢复情况,并采取适当的步骤让用户登录。

是的,FIDO 安全密钥现在可以容纳 device-bound passkeys ,并且自 2019 年以来一直这样做,当时 FIDO2 增加了对通过用户验证的可发现凭证进行无密码登录的支持。 所有客户端平台和浏览器都已支持使用安全密钥。 安全密钥供应商将来可能会选择支持通行密钥同步。

由于所有通行密钥都是FIDO凭据,因此支持FIDO的网络服务将能够支持所有通行密钥的实现。

有特殊合规需求的特定环境可能需要保证只有一份加密密钥可用。 FIDO安全密钥上的通行密钥是此类使用案例的很好的解决方案。

此外,如果用户无法访问其所有其他移动设备和其他已同步其通行密钥的设备,则此类 FIDO 安全密钥可以充当恢复凭证。