一般
哪些裝置支援密碼金鑰?
密碼金鑰採用 FIDO 標準,因此適用於 Android 和 Chrome,以及許多其他熱門生態系統和瀏覽器,例如 Microsoft Windows、Microsoft Edge、macOS、iOS 和 Safari。
請參閱「支援的環境」,瞭解 Chrome 和 Android 的支援狀態。
如果裝置未設定螢幕鎖定方式,可以使用密碼金鑰嗎?
這取決於密碼管理工具的實作方式,以及憑證提供者是否允許建立密碼金鑰,並在沒有使用者知識因素驗證的情況下進行驗證。供應商可以提示使用者先設定 PIN 碼或生物特徵辨識螢幕鎖定,再建立密碼金鑰。
如何使用在某個平台 (例如 Android) 註冊的密碼金鑰,登入其他平台 (例如網頁或 iOS)?
舉例來說,在 Android 裝置上註冊的密碼金鑰,可透過Android 手機連結其他裝置,在其他平台上登入帳戶。如要在兩部裝置之間建立連線,使用者必須在未註冊密碼金鑰的裝置上開啟要登入的網站,掃描 QR code,然後在已建立密碼金鑰的裝置上確認登入 (在本例中為 Android 裝置)。密碼金鑰絕不會離開 Android 裝置,因此應用程式通常會建議在其他裝置上建立新的密碼金鑰,方便下次登入。這個流程也適用於其他平台。
我可以將同步處理的密碼金鑰從一個平台供應商移到另一個平台供應商嗎?
密碼金鑰會儲存在平台定義的憑證提供者服務中。部分平台 (例如 Android) 允許使用者選擇偏好的供應商 (系統或第三方密碼管理工具),Android 14 以上版本即支援這項功能,這類供應商或許能跨平台同步密碼金鑰。目前不支援直接將密碼金鑰從一個平台供應商移至另一個平台供應商。
使用者是否能在非 Google Android 裝置上同步密碼金鑰?
密碼金鑰只會在裝置的生態系統內同步 (也就是預設透過 Google 密碼管理工具在 Android 裝置間同步),不會跨生態系統同步。
Android 將開放平台 (從 Android 14 開始),讓使用者選取要使用的憑證供應器 (例如第三方密碼管理工具)。這樣一來,就能在不同生態系統之間同步密碼金鑰 (視其他平台的開放程度而定)。
如果裝置和平台不支援密碼金鑰,開發人員該怎麼做?
建議開發人員暫時保留應用程式中的現有登入選項,以便在不支援密碼金鑰的裝置和介面上繼續使用。
密碼金鑰會過期嗎?
不會。這取決於儲存密碼金鑰的供應商和 RP (信賴方),但目前沒有密碼金鑰過期的常見做法。
RP 可以指定使用者登入的帳戶嗎?
依賴方 (第三方應用程式) 可以使用應用程式後端傳送的憑證 ID 清單,填入「allowCredentials」,指出應使用哪些密碼金鑰驗證使用者身分。
Android 和 Chrome 的密碼金鑰
Android 應用程式是否可以使用 Chrome 建立的密碼金鑰進行驗證?
在 Android 版 Chrome 中建立的密碼金鑰:
可以。在 Chrome 中建立的密碼金鑰會儲存到 Google 密碼管理工具,使用者登入同一個 Google 帳戶時,即可在 Android 裝置上使用這些密碼金鑰,反之亦然。
在其他平台上的 Chrome 中建立的密碼金鑰:
如果是在其他平台 (Mac、iOS、Windows) 的 Chrome 中建立密碼金鑰,則無法使用。詳情請參閱支援的環境。在此期間,使用者可以使用建立密碼金鑰的手機登入帳戶。
密碼金鑰導入前建立的憑證會受到什麼影響?我們還能繼續使用嗎?
可以。在啟用同步功能前建立的裝置專屬憑證,在 Chrome 和 Android 上都可使用,且仍可用於驗證。
如果使用者遺失裝置,會發生什麼情況?
在 Android 裝置上建立的密碼金鑰會備份並同步到已登入相同 Google 帳戶的 Android 裝置,就像密碼會備份到密碼管理工具一樣。
也就是說,使用者更換裝置時,密碼金鑰也會隨之轉移。在新手機上登入應用程式時,使用者只要透過現有裝置的螢幕鎖定功能驗證身分即可。
如要使用密碼金鑰登入,裝置是否必須同時設定生物辨識和 PIN 碼/解鎖圖案螢幕鎖定功能?還是只要設定其中一種即可?
一種螢幕鎖定方式就足夠。
密碼金鑰是否與特定螢幕鎖定方法 (例如指紋、PIN 碼或解鎖圖案) 相關聯?
這取決於裝置平台和執行使用者驗證的方式。以 Google 密碼管理工具為例,密碼金鑰不會與任何特定驗證方法綁定,且可搭配任何可用的螢幕鎖定因素 (生物特徵辨識、PIN 碼或解鎖圖案) 使用。
RP 是否仍可建立未同步處理的裝置繫結憑證?
目前,在 Android 版 Chrome 中建立的非可探索憑證,或使用 Play 服務 API 在 Android 應用程式中建立的憑證,會維持現有行為,因此仍會綁定裝置。
使用密碼金鑰時,開發中的裝置公開金鑰擴充功能是第二個與裝置綁定的金鑰,不會同步處理,可用於風險分析。不過,目前任何憑證供應商都不支援這項功能。
如何將密碼金鑰同步到新裝置?使用者是否需要存取建立密碼金鑰的裝置?
使用 Android 裝置:
如果密碼金鑰已儲存至 Google 密碼管理工具,使用者只要在新裝置上登入相同的 Google 帳戶,並使用舊裝置的螢幕鎖定 (PIN 碼、解鎖圖案或密碼) 驗證身分,使用者不需使用舊裝置,即可登入其他裝置。
如果密碼金鑰儲存在其他憑證提供者,則取決於該憑證提供者在新裝置上的登入流程。大多數憑證供應商會將憑證同步到雲端,並提供方法讓使用者在驗證身分後,透過新裝置存取憑證。
隱私權與安全性
使用者的生物特徵辨識資訊是否安全?
是,使用者生物辨識資料會保留在裝置上,絕不會儲存在中央伺服器,以免因資料侵害事件而遭竊。
使用者能否在朋友的裝置上,使用手機上的密碼金鑰登入帳戶?
可以。使用者可以在手機和他人裝置之間設定「一次性連結」,以便登入帳戶。
如果使用者的 Google 帳戶遭入侵,儲存在 Google 密碼管理工具中的密碼金鑰是否會受到保護?
是,密碼金鑰密碼會經過端對端加密處理。即使 Google 帳戶遭盜用,密碼金鑰也不會外洩,因為使用者還必須解鎖 Android 裝置螢幕,才能解密密碼金鑰。
相關主題
密碼金鑰與身分聯盟有何不同?
身分聯盟是整合一或多個 OpenID 提供者的服務適用的絕佳解決方案。這項功能會傳回使用者的基本個人資料資訊,例如姓名和已驗證的電子郵件地址,並提供安全又便利的登入機制 (與密碼金鑰類似)。另一方面,密碼金鑰不需要與 OpenID 提供者整合,但缺少基本個人資料資訊。開發人員應向使用密碼的使用者推薦密碼金鑰。開發人員應自行考慮整合一或多個 OpenID 提供者,讓使用者有選擇權。