常见问题解答 (FAQ)

一般措施

谁支持通行密钥?

由于通行密钥基于 FIDO 标准,因此它们适用于 Android 和 Chrome,以及许多其他常用的生态系统和浏览器,例如 Microsoft Windows、Microsoft Edge、macOS、iOS 和 Safari。

请参阅支持的环境,查看 Chrome 和 Android 的支持状态。

通行密钥是否适用于未设置屏锁方式的设备?

这取决于密码管理工具的实现方式,以及凭据提供程序是否允许在无用户验证凭据的情况下创建和进行身份验证。提供方可以在创建通行密钥之前提示用户设置 PIN 码或生物识别屏幕锁定方式。

如何利用在某个平台(例如 Android)上注册的通行密钥在其他平台(例如 Web 或 iOS)上登录?

例如,通过将 Android 手机与其他设备连接,可以使用在 Android 上注册的通行密钥在其他平台上登录。若要在两台设备之间建立连接,用户需要在未注册通行密钥的设备上打开他们尝试登录的网站,请扫描二维码,然后确认在他们创建了通行密钥的设备(在本例中为 Android 设备)上登录。通行密钥绝不会离开 Android 设备,因此通常应用会建议在另一台设备上创建新的通行密钥,以便下次登录。此流程也适用于其他平台。

我可以将已同步的通行密钥从一个平台提供商移至另一个平台提供商吗?

通行密钥会保存到平台定义的凭据提供程序。从 Android 14 开始,某些平台(如 Android)允许用户选择自己选择的提供程序(系统或第三方密码管理工具),这些提供商或许能够跨不同平台同步通行密钥。目前尚不支持将通行密钥直接从一个平台提供商迁移到另一个平台提供商。

用户能否在非 Google Android 设备之间同步通行密钥?

通行密钥仅在设备的生态系统(即默认使用 Google 密码管理工具从 Android 设备到 Android)内同步,但不会在整个生态系统内同步。

Android 将开放平台(从 Android 14 开始),以便用户选择要使用的凭据提供程序(例如第三方密码管理工具)。这将支持在不同生态系统之间同步通行密钥(具体取决于其他平台的开放程度)等用例。

针对不支持通行密钥的设备和平台,开发者应该怎么做?

建议开发者暂时保留其应用中的现有登录选项,以便它们可以继续用于不支持通行密钥的设备和 surface。

通行密钥会过期吗?

不会。这取决于存储通行密钥的提供程序和 RP(依赖方),但没有使通行密钥过期的常见做法。

RP 是否可以指定用户登录时使用的帐号?

依赖方(第三方应用)可以使用从其应用后端发送的凭据 ID 列表填充“allowCredentials”,以指示应使用哪些通行密钥对用户进行身份验证。

Android 和 Chrome 上的通行密钥

Android 应用可以使用在 Chrome 中创建的通行密钥进行身份验证吗?

  • 对于在 Android 版 Chrome 中创建的通行密钥:

    会。在 Chrome 中创建的通行密钥会保存到 Google 密码管理工具中,并且在 Android 设备上可用;当用户登录同一个 Google 帐号时,反之亦然。

  • 对于在其他平台上通过 Chrome 创建的通行密钥:

    如果通行密钥是在其他平台(Mac、iOS、Windows)的 Chrome 中创建的,则不需要。如需了解详情,请查看支持的环境。在此期间,用户可以使用创建通行密钥的手机登录。

在引入通行密钥之前创建的凭据会怎么样?我们可以继续使用它们吗?

是的,在 Chrome 和 Android 上,在我们启用同步功能之前创建的设备绑定凭据可用,并且仍可用于身份验证。

如果用户丢失设备,会发生什么?

在 Android 设备上创建的通行密钥会备份并同步到登录同一 Google 帐号的 Android 设备,就像将密码备份到密码管理工具一样。

也就是说,当用户更换设备时,通行密钥会保留下来。如需在新手机上登录应用,用户只需使用现有设备的屏幕锁定功能验证自己的身份即可。

使用通行密钥登录时,是否必须同时在设备上设置生物识别和 PIN 码或图案屏幕锁定?或者,满足其中任一设置就够了吗?

一种屏幕锁定方式就足够了。

通行密钥是否与特定的屏幕锁定方法(例如指纹、PIN 码或图案)相关联?

这取决于设备平台以及它们运行用户验证的方式。使用 Google 密码管理工具时,通行密钥不会与任何特定的身份验证方法相关联,而且可与任何可用的屏幕锁定因素(生物识别、PIN 码或图案)搭配使用。

RP 是否仍可创建未同步的设备绑定凭据?

目前,在 Android 版 Chrome 或使用 Play 服务 API 的 Android 应用中创建的不可检测到的凭据会保持其现有行为,因此会继续受限于设备。

使用通行密钥时,正在开发中的设备公钥扩展是第二个设备绑定密钥,该密钥不会同步,可用于风险分析。但是,任何凭据提供程序尚不支持此功能。

如何将通行密钥同步到新设备?用户是否需要有权访问他们创建了通行密钥的设备?

在 Android 设备上:

  • 如果通行密钥已保存至 Google 密码管理工具,用户只需使用同一 Google 账号在新设备上登录,然后使用之前设备的屏幕锁定功能(PIN 码、图案或密码)验证自己即可。用户无需使用之前的设备即可登录其他设备。

  • 如果通行密钥保存到了其他凭据 provider,则这取决于该凭据提供程序的新设备上的登录流程。大多数凭据提供程序会将凭据同步到云端,并为用户提供在身份验证后在新设备上访问这些凭据的方法。

隐私权和安全性

用户的生物识别信息是否安全?

是的,用户的生物识别数据绝不会离开设备,也绝不会存储在中央服务器上,以免在发生数据泄露时被盗。

用户能否在手机上使用通行密钥登录好友的设备?

可以。用户可以在自己的手机与其他设备之间设置一个“一次性链接”,以便进行登录。

如果用户的 Google 账号被盗用,存储在 Google 密码管理工具中的通行密钥是否会得到保护?

是的,通行密钥密钥经过端到端加密。被盗用的 Google 帐号不会公开通行密钥,因为用户还需要解锁 Android 设备的屏幕才能解密通行密钥。

通行密钥与身份联合有何不同?

身份联合非常适合注册服务,因为它会返回用户的基本个人资料信息(例如姓名和经过验证的电子邮件地址),这有助于引导新帐号。通行密钥有助于简化用户的reauthentication