一般
誰支援密碼金鑰?
密碼金鑰奠基於 FIDO 標準,因此適用於 Android 和 Chrome,以及許多其他熱門生態系統和瀏覽器,例如 Microsoft Windows、Microsoft Edge、macOS、iOS 和 Safari。
如要查看 Chrome 和 Android 的支援狀態,請參閱支援的環境一節。
是否可在未設定螢幕鎖定方式的裝置上使用密碼金鑰?
這取決於密碼管理工具的實作方式,是否允許憑證提供者在使用者不知情的情況下建立密碼金鑰並進行驗證。提供者可提示使用者設定 PIN 碼或生物特徵辨識螢幕鎖定功能,然後再建立密碼金鑰。
如何在某個平台 (例如 Android) 上註冊密碼金鑰,用於登入其他平台 (例如網頁或 iOS)?
舉例來說,在 Android 上註冊的密碼金鑰可用來將 Android 手機與其他裝置連結,藉此在其他平台上登入。如要在兩部裝置之間建立連線,使用者必須在未註冊密碼金鑰的裝置上開啟要登入的網站,然後掃描 QR code,然後在建立密碼金鑰的裝置 (在本例中為 Android 裝置) 上確認登入程序。密碼金鑰絕對不會離開 Android 裝置,因此應用程式通常會建議在其他裝置上建立新的密碼金鑰,方便下次登入。此流程也適用於其他平台。
我可以將同步的密碼金鑰從某個平台供應商移至其他平台嗎?
密碼金鑰會儲存至平台定義的憑證提供者。部分平台 (例如 Android) 會從 Android 14 開始,讓使用者自行選擇想要的供應商 (系統或第三方密碼管理工具),而這可能可以在不同平台上同步處理密碼金鑰。目前不支援將密碼金鑰直接從一個平台提供者移至另一個平台。
使用者是否可以同步處理非 Google Android 裝置的密碼金鑰?
密碼金鑰只會在裝置生態系統 (即預設使用 Google 密碼管理工具從 Android 至 Android) 同步,但不會在生態系統中同步處理。
Android 會開啟平台 (自 Android 14 以上版本),讓使用者能夠選取要使用的憑證提供者 (例如第三方密碼管理工具)。這可讓不同生態系統之間同步處理密碼金鑰等用途 (視其他平台的開啟方式而定)。
開發人員應如何處理不支援密碼金鑰的裝置和平台?
建議開發人員暫時在應用程式中保留現有的登入選項,讓不支援密碼金鑰的裝置和介面能繼續使用這些登入選項。
密碼金鑰會失效嗎?
否。這取決於儲存密碼金鑰的提供者和 RP (依賴方) 而定,但密碼金鑰失效是一般做法。
RP 可以指定使用者用於登入的帳戶嗎?
依賴方 (第三方應用程式) 可將從應用程式後端傳送的憑證 ID 清單填入 allowCredentials,指出應使用哪些密碼金鑰驗證使用者。
在 Android 和 Chrome 上使用密碼金鑰
Android 應用程式可以使用在 Chrome 中建立的密碼金鑰進行驗證嗎?
如果是在 Android 裝置上透過 Chrome 建立的密碼金鑰:
是的,在 Chrome 中建立的密碼金鑰會儲存至 Google 密碼管理工具。使用者登入相同 Google 帳戶時,會在 Android 上使用密碼金鑰,反之亦然。
針對在其他平台上的 Chrome 建立的密碼金鑰:
如果該密碼金鑰是在其他平台 (Mac、iOS、Windows) 的 Chrome 中建立,則否。詳情請參閱支援的環境。在此同時,使用者可以透過使用手機建立密碼金鑰來登入帳戶。
密碼金鑰導入前建立的憑證會受到什麼影響?可以繼續使用嗎?
可以,在 Chrome 和 Android 上,於我們啟用同步功能前建立的裝置繫結憑證皆可用,且仍可用於驗證。
如果使用者遺失裝置,會發生什麼情況?
在 Android 裝置上建立的密碼金鑰會備份並與登入相同 Google 帳戶的 Android 裝置保持同步,就像將密碼備份到密碼管理工具一樣。
也就是說,當使用者更換裝置時,密碼金鑰會隨身攜帶。如要在新手機上登入應用程式,使用者只需要使用現有裝置的螢幕鎖定功能驗證身分即可。
使用密碼金鑰登入帳戶時,裝置是否必須設定生物特徵辨識和 PIN 碼或解鎖圖案螢幕鎖定功能,還是下列兩者之一?
其中一種螢幕鎖定方式就夠了。
密碼金鑰是否連結至特定的螢幕鎖定方式 (例如指紋、PIN 碼或解鎖圖案)?
這取決於裝置平台和使用者驗證使用者的方式。在 Google 密碼管理工具中,密碼金鑰不會與任何特定驗證方法連結,而且可以與任何可用的螢幕鎖定係數 (生物特徵辨識、PIN 碼或解鎖圖案) 搭配使用。
RP 是否仍可建立不同步的裝置繫結憑證?
目前,在 Android 版 Chrome 或使用 Play 服務 API 在 Android 應用程式中建立的無法偵測憑證,請保留現有行為,因此仍受裝置繫結。
使用密碼金鑰時,裝置公開金鑰擴充功能是仍在開發中的第二個裝置繫結金鑰,系統不會同步處理且可用於進行風險分析。不過,目前所有憑證提供者都不支援這項操作。
將密碼金鑰同步到新裝置的運作方式?在建立密碼金鑰的裝置上,使用者是否需要使用權限?
使用 Android 裝置:
如果密碼金鑰已儲存至 Google 密碼管理工具,則使用者只需要使用相同的 Google 帳戶登入新裝置,然後使用舊裝置的螢幕鎖定 (PIN 碼、解鎖圖案或密碼) 自行驗證。使用者不必使用舊裝置登入其他裝置。
如果密碼金鑰儲存至其他憑證提供者,則取決於該憑證提供者新裝置的登入流程。大多數憑證提供者會將憑證同步處理至雲端,並提供使用者自行驗證後,在新裝置上存取憑證的方法。
隱私權與安全性
使用者的生物特徵辨識資訊是否安全?
是的,使用者生物特徵辨識資料不會脫離裝置本身,也絕不會儲存在中央伺服器,以免因資料侵害事件而遭竊。
使用者是否可以在手機上使用密碼金鑰登入好友的裝置?
會。使用者可以在手機和其他人的裝置之間設定「一次性連結」,以便登入。
如果使用者的 Google 帳戶遭到盜用,儲存在 Google 密碼管理工具中的密碼金鑰是否受到保護?
是的,密碼金鑰密鑰會經過端對端加密處理。遭駭的 Google 帳戶不會公開密碼金鑰,因為使用者也必須解鎖 Android 裝置的螢幕才能解密密碼金鑰。
相關主題
密碼金鑰與身分聯盟有何差異?
身分聯盟非常適合用於註冊服務,因為系統會傳回使用者的基本個人資料 (例如姓名和已驗證的電子郵件地址),協助啟動新帳戶。密碼金鑰非常適合簡化使用者的reauthentication作業。