常规
哪些平台支持通行密钥?
由于通行密钥基于 FIDO 标准,因此可在 Android 和 Chrome 上使用,还可在许多其他常用生态系统和浏览器中使用,例如 Microsoft Windows、Microsoft Edge、macOS、iOS 和 Safari。
请参阅受支持的环境,查看 Chrome 和 Android 上的支持状态。
通行密钥是否适用于未设置屏幕锁定方式的设备?
这取决于密码管理器的实现,凭据提供程序是否允许在没有用户知识因素质询的情况下创建通行密钥并进行身份验证。提供方可以提示用户先设置 PIN 码或生物识别屏锁,然后再创建通行密钥。
如何使用在一个平台(例如 Android)上注册的通行密钥在其他平台(例如 Web 或 iOS)上登录?
例如,在 Android 上注册的通行密钥可用于在其他平台上登录,只需将 Android 手机与其他设备连接即可。 如需在这两部设备之间建立连接,用户需要在未注册通行密钥的设备上打开要登录的网站,扫描二维码,然后在已创建通行密钥的设备(在本例中为 Android 设备)上确认登录。通行密钥绝不会离开 Android 设备,因此应用通常会建议在另一部设备上创建新的通行密钥,以便下次登录。此流程也适用于其他平台。
我可以将同步的通行密钥从一个平台提供商迁移到另一个平台提供商吗?
通行密钥会保存到平台定义的凭据提供方。某些平台(例如 Android)允许用户选择自己偏好的提供方(系统或第三方密码管理工具),从 Android 14 开始,这些提供方可能能够跨不同平台同步通行密钥。目前不支持直接将通行密钥从一个平台提供方迁移到另一个平台提供方。
用户能否在非 Google Android 设备上同步通行密钥?
通行密钥仅在设备生态系统内同步(即默认情况下通过 Google 密码管理工具在 Android 设备之间同步),而不会跨生态系统同步。
Android 正在开放平台(从 Android 14 开始),以便用户选择要使用的凭据提供程序(例如第三方密码管理工具)。这样一来,便可实现在不同生态系统之间同步通行密钥等用例(具体取决于其他平台的开放程度)。
对于不支持通行密钥的设备和平台,开发者应采取哪些措施?
建议开发者暂时保留应用中的现有登录选项,以便在不支持通行密钥的设备和平台上继续使用这些选项。
通行密钥会过期吗?
不会。这取决于存储通行密钥的提供方和 RP(信赖方),但目前还没有通行密钥过期的常见做法。
RP 是否可以指定用户登录时使用的账号?
信赖方(第三方应用)可以使用从其应用后端发送的凭据 ID 列表填充“allowCredentials”,以指明应使用哪些通行密钥对用户进行身份验证。
Android 和 Chrome 中的通行密钥
Android 应用可以使用在 Chrome 中创建的通行密钥进行身份验证吗?
对于在 Android 设备上通过 Chrome 创建的通行密钥:
可以。在 Chrome 中创建的通行密钥会保存到 Google 密码管理工具中,并且当用户登录同一 Google 账号时,可以在 Android 设备上使用这些通行密钥,反之亦然。
对于在其他平台上的 Chrome 中创建的通行密钥:
如果通行密钥是在其他平台(Mac、iOS、Windows)上的 Chrome 中创建的,则无法使用。如需了解详情,请参阅支持的环境。与此同时,用户可以使用创建通行密钥的手机登录。
在引入通行密钥之前创建的凭据会怎样?我们可以继续使用这些功能吗?
可以。在 Chrome 和 Android 上,在启用同步功能之前创建的与设备绑定的凭据仍然可用,并且仍可用于身份验证。
如果用户丢失了设备,会发生什么情况?
在 Android 设备上创建的通行密钥会备份并同步到登录了同一 Google 账号的 Android 设备,就像密码备份到密码管理工具一样。
这意味着,当用户更换设备时,通行密钥也会随之转移。如要在新手机上登录应用,用户只需使用现有设备的屏锁验证自己的身份即可。
在设备上同时设置生物识别和 PIN 码或解锁图案屏幕锁定功能,是否是使用通行密钥登录的必要条件?还是只需设置其中一种即可?
一种屏锁方法就足够了。
通行密钥是否与特定的屏幕解锁方式(例如指纹、PIN 码或图案)相关联?
这取决于设备平台以及用户验证的运行方式。对于 Google 密码管理工具,通行密钥不与任何特定的身份验证方法相关联,可以与任何可用的屏幕锁定因素(生物识别信息、PIN 码或解锁图案)搭配使用。
RP 是否仍可创建未同步的设备绑定型凭据?
目前,在 Android 版 Chrome 中或在 Android 应用中使用 Play 服务 API 创建的不可发现的凭据会保持其现有行为,因此仍会绑定到设备。
使用通行密钥时,正在开发的设备公钥扩展程序是绑定到设备的第二个密钥,不会同步,可用于风险分析。不过,目前没有任何凭据提供方支持此功能。
将通行密钥同步到新设备的工作原理是什么?用户是否需要能够访问创建通行密钥的设备?
在 Android 设备上:
如果通行密钥已保存到 Google 密码管理工具,那么用户只需在新设备上使用同一 Google 账号登录,并通过之前设备的屏幕锁定方式(PIN 码、解锁图案或密码)验证自己的身份即可。用户无需使用旧设备即可登录其他设备。
如果通行密钥已保存到其他凭据提供程序,则取决于该凭据提供程序在新设备上的登录流程。大多数凭据提供方都会将凭据同步到云端,并为用户提供在通过身份验证后在新设备上访问这些凭据的方式。
隐私权和安全
用户的生物识别信息是否安全?
可以。用户的生物识别数据绝不会被发送到设备以外的其他位置,也绝不会存储在中央服务器上,以免在发生数据泄露时被盗。
用户能否使用手机上的通行密钥登录好友的设备?
可以。用户可以在自己的手机与他人的设备之间设置“一次性关联”,以便登录。
如果用户的 Google 账号遭到入侵,存储在 Google 密码管理工具中的通行密钥是否会受到保护?
会。通行密钥密文会经过端到端加密。即使 Google 账号遭到入侵,通行密钥也不会泄露,因为用户还需要解锁 Android 设备的屏幕才能解密通行密钥。
相关主题
与身份联合相比,通行密钥有何不同?
身份联合是与一个或多个 OpenID 提供方集成的服务的理想解决方案。它会返回用户的基本个人资料信息(例如姓名和经过验证的电子邮件地址),并且与通行密钥一样,提供安全便捷的登录机制。另一方面,通行密钥不需要与 OpenID 提供方集成,但缺少基本个人资料信息。开发者应向使用密码的用户推荐通行密钥。开发者应独立考虑与一个或多个 OpenID 提供方集成,以便为用户提供选择。