通行密钥，未来数字生活的钥匙

Minecraft 8

已于 2025-05-13 16:32:01 修改

阅读量1.7k

点赞数 32

CC 4.0 BY-SA版权

文章标签：网络密码学 web安全网络安全可信计算技术

于 2025-05-13 16:14:33 首次发布

本文链接：https://blog.csdn.net/weixin_46583461/article/details/147914264

引言

密码，这个我们每天都要打交道的数字或字符组合，既是守护我们网络身份的第一道防线，也常常是我们最头疼的负担。记住复杂的密码、担心被盗、遭遇钓鱼攻击……传统密码体系的弊端日益凸显，我们迫切需要一种更安全、更便捷的登录方式。现在，一个革命性的解决方案正在成为现实：通行密钥（Passkeys）。告别容易遗忘和被窃取的密码，通行密钥将带我们进入一个无密码登录的新时代。这篇文章将介绍通行密钥、如何设置以及如何使用，以及为什么是密码的替代品。

为什么我们需要通行密钥？

在这个数字化浪潮席卷一切的时代，我们的生活与网络账户深度绑定。然而，随之而来的网络攻击也日益猖獗，从政府机构到个人用户，无不暴露在风险之下。其中，线上账户已成为攻击者的首要目标。微软惊人的统计数据揭示了问题的严重性：他们的系统每天需要抵御超过上亿次针对其账户的密码猜测或凭据填充尝试。

这一切混乱的根源，很大程度上指向了我们对密码的依赖。多年来，层出不穷的密码泄露事件，从国际巨头雅虎、领英、Adobe，到国内用户熟悉的 CSDN、天涯社区，都曾将数百万甚至数亿用户的账户信息暴露在光天化日之下。更糟糕的是，由于部分平台安全措施不到位或用户密码习惯不佳，这些泄露的用户名和密码组合，被攻击者轻易地用来进行“撞库”——即尝试登录用户在其他平台（如邮箱、社交媒体等）的账户，并常常得手。

此外，各类小规模的数据泄露事件也在持续发生，它们虽然未能引起媒体的广泛关注，却如同涓涓细流汇集，不断壮大着攻击者用于“撞库”的凭据数据库。

安全漏洞不仅来自外部威胁，也源于用户自身的“人为错误”。例如，为了方便而重复使用相同或过于简单的密码，或者不慎落入钓鱼陷阱，在虚假网站上输入敏感账户信息。

而抛开安全风险不谈，记忆和管理那些越来越复杂、数量越来越多的密码，本身就是一项令人疲惫不堪的任务。用户不得不强迫记忆或依赖密码管理器，后者对技术不敏感的用户来说又是一道门槛。更何况，为了提升安全性而增加的密码长度和复杂性，反而常常导致输入错误，降低了登录效率和流畅度。

可见，传统密码体系的弊端已无法回避：它既不安全，也不方便，难以应对当前复杂的网络威胁和满足用户对便捷操作的需求。正是为了解决这一困境，提供一种更安全、更无感的身份验证方式，通行密钥应运而生。

什么是通行密钥？

简单来说，通行密钥是一种全新的数字凭证，旨在彻底取代我们沿用了几十年的传统密码。与密码这一需要用户记忆和输入的“共享秘密”不同，通行密钥本身并非一个你可以记住或写下来的字符串。它基于强大的公钥加密技术，为你和每一个支持通行密钥的网站/应用生成一对独特的“钥匙”：一把是私钥，一把是公钥。关键在于，你的私钥被安全地保存在你的设备上（比如手机、电脑或安全密钥中），并且永远不会离开你的设备。

什么是公钥加密？

通行密钥之所以能够提供如此强大的安全性和独特的认证方式，其底层核心在于一套成熟的加密学原理：公钥加密（Public Key Cryptography），特别是其中的公钥和私钥对概念。它利用了数学原理（例如常见的RSA使用了较大素数的概念），在数学上紧密关联，但它们的功能却大相径庭。

这对钥匙包含：

私钥（Private Key）：这把钥匙是完全私密的，如同你的专属印章或签名笔，只有你拥有并能使用它。在通行密钥体系中，它被安全地生成并存储在你的设备（如手机或电脑）上，并受到设备安全硬件的严密保护，绝不会离开你的设备。私钥用于执行签名操作，证明某个行为（如登录请求）确实是由持有私钥的你发起的。
公钥（Public Key）：这把钥匙是公开的，任何人都可以拥有。你可以把它看作是你的印章的公开样本，或者一种特殊的验证工具。当你为一个网站创建通行密钥时，网站会接收并保存你的公钥。公钥的主要作用是用来验证由你的私钥创建的签名是否有效且确实来自于与该公钥配对的私钥持有者。

这两者协同工作的精妙之处在于：用私钥进行的操作（例如，对一个登录请求进行“签名”），只能由其配对的公钥进行验证；而反过来，虽然任何人都能看到公钥并尝试验证，但只有拥有与之配对的私钥，才能创建出能够通过这个公钥验证的有效签名。因此，在通行密钥认证中，网站服务器使用你的公钥来验证一个签名，就是在确认这个签名是你的设备（拥有私钥的设备）所生成，从而证明了你的身份，而无需你暴露任何秘密信息。
图 | 公钥加密技术是如何在同学密钥上运用的

通行密钥是如何工作的？

了解了通行密钥的核心概念——公私钥对和设备绑定，我们来看看它在实际使用中是如何工作的，这主要包括**创建（注册）和使用（登录）**两个核心过程。

创建

不同于以前注册账户时需要你手动设置密码，当你访问一个支持通行密钥的网站或应用并打算启用这项功能时，你的设备（比如智能手机、电脑或物理安全密钥，它们在这里扮演着一个“认证器”的角色）会安全地为你生成一个独特的公钥和私钥对。私钥会使用设备内置的安全硬件（如安全芯片）进行加密和保存，它永远不会离开你的设备。而生成的公钥，则会被安全地发送到该网站或服务的服务器端，并与你的用户账户进行关联。完成这一创建步骤通常需要你通过设备本身的认证机制来确认是你本人在进行操作，比如通过面容识别、指纹扫描或输入设备的锁屏密码。
图 | 通行密钥创建流程

使用

当你再次访问该网站或应用时，选择使用通行密钥登录（通常系统会自动提示）。这时，网站会向你的设备发送一个加密的“挑战”（你可以简单理解为一个随机验证信号）。你的设备收到这个挑战后，会使用本地安全存储的私钥对其进行加密签名。为了授权这次签名操作，你的设备会再次要求你进行认证，比如通过面容、指纹或锁屏密码解锁设备。一旦认证成功，设备就会将签名后的结果发送回网站服务器。服务器利用你注册时保存的公钥来验证这个签名的有效性。如果验证通过，服务器就能确定是持有正确私钥（也就是你的设备）的用户在尝试登录，从而允许你访问账户。整个登录过程中，你的私钥始终安全地待在你的设备里，从未在网络上传输，网站服务器也从未接触到你的私钥，而且这个过程比输入密码要便捷得多。图 | 通行密钥登录原理

通行密钥的核心优势

相较于传统密码，通行密钥带来了革命性的优势，核心体现在显著提升的安全性和极大的使用便捷性。

在安全性方面，通行密钥从根本上改变了认证机制，从而具备多重防护：

首先，通行密钥本身极其复杂且独一无二。
不同于我们通常设置的 8-20 位字符密码，通行密钥长度可达 100 或 200 位，且完全由随机生成的、无任何规律的字符组成，这使得任何暴力猜测或字典破解几乎不可能成功。更重要的是，每个通行密钥都与其绑定的特定网站和账户一一对应，绝不重复使用，彻底杜绝了“撞库”攻击的风险。
其次，通行密钥具有天然的抗窃取和抗钓鱼能力。
通行密钥不能被用户“看见”或“写下”，也无法像密码那样被轻易复制或共享出去。由于通行密钥与特定的网站域名绑定，它只会在你访问正确的、已注册的网站时才会尝试使用，因此，任何企图诱骗你在假冒网站上输入凭据的钓鱼攻击都会失效——你的设备根本不会将通行密钥提供给错误的网站。在中国内地的网络环境中，手机号+短信验证码的登录方式因其便捷性和低门槛，目前仍占据着主导地位，深受用户和平台的青睐。然而，尽管看似方便，与通行密钥相比，短信验证码极易受到钓鱼攻击。攻击者可以伪造网站或信息，诱骗用户在假页面输入手机号和收到的验证码。一旦用户输入，攻击者就能立即利用这些信息在真网站上完成登录，用户毫无察觉。而通行密钥由于强绑定网站的“源”，设备只会在你访问正确的、已注册的网站时才会被激活，天然免疫这类基于欺骗的钓鱼攻击。此外，短信验证码依赖于手机号码和通信信道的安全。SIM 卡劫持（SIM Swap）攻击可以直接让攻击者获得用户的手机号并截获验证码，从而绕过认证。虽然技术门槛更高，但短信信道本身理论上也存在被监听或中间人攻击的风险。同时，非法补办手机卡（非法补卡）或通过其他手段非法获取手机号码控制权，并利用这个号码进行账户盗窃或金融诈骗的案例是确实发生过的，并且是业内和公众都知晓的一种安全风险，并且随着身份证丢失风险大大增加。一旦攻击者拿到了用户的手机号，他们就可以接收到发送到该号码的短信和语音信息，包括各种在线账户（社交、邮箱、游戏等）的短信验证码，银行、支付平台（如支付宝、微信支付）的支付验证码，密码重置验证码。攻击者随后便可以利用这些验证码和重置功能，轻松登录或重置用户绑定了该手机号的账户，进而盗取虚拟财产或进行金融转账。
通行密钥的认证信息存储在本地安全硬件中，不依赖短信，其安全验证基于设备和你本人（生物识别/PIN），能有效抵御这类基于手机号或短信信道的攻击。从认证原理上看，短信验证码只证明了“你收到了这条短信”，而不能密码学地证明“你就是账户本人”。攻击者一旦拿到验证码即可使用。而通行密钥则是通过私钥对挑战进行加密签名，强密码学证明了操作是由持有正确私钥的“你”完成的，安全性等级完全不同。所以，用通行密钥替代短信验证码，即便不慎对手机号失去控制，攻击者也无法登录你的账户。
通行密钥拥有强大的设备端和服务器端防护。
通行密钥会被高度加密，并独立存放于设备的安全硬件（如手机的安全芯片）中，与其他数据严格隔离。即使设备上的其他数据遭到泄露，通行密钥依然是安全的。同时，安全硬件本身具备强大的防篡改和防攻击能力，一旦检测到有非法访问或破解尝试，可以立即锁定或擦除其中的敏感数据。即使万一网站服务器被攻击，攻击者也只会拿到用于验证的公钥，而公钥并非秘密，无法反推出你的私钥，因此攻击者仍然无法冒充你登录账户。为进一步增强安全性，设备在使用通行密钥登录时，还可以设定最大尝试失败次数，超出限制后，设备上的相关通行密钥将被锁定甚至销毁，有效防止本地暴力破解。
跨设备使用和同步的安全性也得到了保障。
你在一部设备上创建的通行密钥，采用端对端加密，加密后才会通过云服务同步，而且只有你的设备才能解密。这意味着即使云服务提供商也无法看到你的通行密钥明文，数据安全完全掌握在你手中。并且，通行密钥的设计要求在跨设备登录时进行额外的本地验证或设备间通信，确保必须是你本人持有并授权的设备在进行操作，无法被远程滥用。你也可以通过其他已登录设备快速删除丢失或意外共享的通行密钥，立即阻止其被非法使用，并随时创建新的通行密钥。

在使用便捷性方面，通行密钥也带来了巨大的飞跃。通行密钥带来的便捷性并非只是“感觉更快”，它在实际的用户登录流程中带来了可衡量的数据改善，尤其是在登录成功率方面。

通行密钥登录的完成速度也通常比密码登录（尤其是需要二次验证才能完成登录的）快得多，有时能将整个登录时间缩短数秒甚至更多，这本身也有助于提升用户体验和感知上的成功率。

更值得强调的是，通行密钥在提供高强度安全认证的同时，大大减少甚至取代了传统密码登录流程中对独立多因素认证（MFA）的要求。这是因为它本身的设计就天然包含了多个验证因素：你的设备持有的私钥是“你所拥有的”因素，而你需要通过生物识别（如指纹、面容）或设备锁屏密码码进行解锁验证，这代表了“你是谁”或“你知道什么”的因素（不会将生物信息或者锁屏密码上传服务器，只会上传用户名，公钥，签名，时间戳，域名等信息，生物信息或者锁屏密码仅用于本地身份验证且由你的设备完成）。通行密钥巧妙地将这些因素融合在一步登录流程中，既达到了多因素认证的安全等级，又避免了用户等待短信验证码、打开认证 App、手动输入动态码等繁琐步骤，为用户带来了前所未有的流畅和安全的“一步到位”登录体验。

作为对比，使用传统密码+短信验证码或认证 App 等二次验证（MFA）登录时，用户可能会在多个环节遭遇中断或失败：比如忘记密码、输入错误、收不到验证码、验证码输入超时或错误等。这些因素都会导致用户在尝试登录时最终未能成功完成。与此形成鲜明对比的是，通行密钥的登录流程大大简化，直接体现在登录成功率的显著提升上。根据 Google 等已广泛部署通行密钥的科技公司分享的数据：与需要输入密码及二次验证的传统流程相比，通行密钥的登录成功率提高了约 90%。这意味着几乎所有选择使用通行密钥的用户都能顺利完成登录，而传统方式下会有相当比例的用户在某个环节流失。这些数据有力地证明，通行密钥通过减少人为错误和步骤、消除对额外设备或信息的依赖，为用户提供了更顺畅、更可靠的登录体验，极大地提高了用户登录的效率和成功率。

在国内，虽然手机号+短信验证码看起来快捷，但仍需要用户等待接收短信、查找验证码并手动输入。这中间可能出现短信延迟、收不到、输入错误或验证码过期等问题，反而影响效率。通行密钥则省去了这些环节，只需一步生物识别或 PIN 验证即可完成，更为流畅。更重要的是，通行密钥的验证是内置在设备中的安全操作，不依赖于外部通信（短信），在网络信号不佳的情况下也能进行本地验证（只要能连接到网站），可靠性更高。
图 | 生物验证取代传统用户名和密码

同时，通行密钥具备出色的跨平台和多设备使用能力。你甚至可以在手机上通过扫描二维码，快速登录电脑上的网站，整个过程只需在手机上进行简单的生物识别或PIN码验证即可完成，无需在电脑上输入任何凭据。这意味着你可以在任何你拥有的、支持通行密钥的设备上，享受到一致且流畅的无密码登录体验。这个过程仍然很安全——不会发生远程扫码而让诈骗者远程登录的问题，因为这种方式登录要求两台设备互相在身边（通过蓝牙LE检查，不需要预先互相配对）。
图 | 扫码登录

与各大运营商的 “手机号一键登录” 对比，通行密钥依然具有较高安全性和方便性。

一键登录 / 本机号码认证的原理

这种服务通常是应用或网站集成了运营商提供的 SDK 或 API 来实现的。其核心原理是利用用户设备当前连接的蜂窝网络信号，来验证用户的手机号码是否与尝试登录的账户所绑定的号码一致。

简单流程如下：

发起请求： 用户在支持一键登录的应用中选择使用此功能。应用调用运营商提供的 SDK。
设备与运营商通信： 用户的手机通过当前的蜂窝数据连接（而非 Wi-Fi）向运营商网络发送一个认证请求。
运营商网络验证： 运营商网络基于用户当前的 SIM 卡信息和网络连接，生成一个临时的、加密的认证 Token。这个过程证明了“当前使用这个手机号的用户，正在通过这个设备连接到我的网络”。
应用服务器验证： 应用的后台服务器收到这个 Token 后，会与运营商的认证服务器进行后台对接验证。
号码匹配确认： 运营商的认证服务器验证 Token 的有效性，并确认它对应的手机号码是否就是应用向其查询或用户尝试登录的那个手机号码。
完成登录： 如果号码匹配且 Token 有效，运营商会向应用服务器返回成功确认信息，应用服务器便认为用户身份得到验证，完成登录。

这个过程绕过了用户输入密码或接收短信，直接依赖于运营商对手机号码和设备的绑定关系以及网络连接的信任。

与通行密钥的对比

一键登录和通行密钥都是为了提升便捷性和取代传统密码，但它们的技术基础、安全模型和适用场景有显著区别：

技术基础与安全模型：
- 一键登录： 主要基于运营商网络信任和手机号码与设备/SIM卡的绑定。其安全性依赖于运营商网络的健壮性和防范 SIM 卡劫持的能力。它验证的是“你正在使用这个号码”。
- 通行密钥： 基于强大的公钥加密技术、设备安全硬件以及用户本地验证（生物识别/PIN）。其安全性核心在于私钥不离开设备、抗钓鱼、以及依赖于用户对设备的实际控制和生物特征/PIN。它验证的是“持有特定加密密钥且通过设备本地验证的你”。
- 对比： 通行密钥提供了更强的密码学证明和设备本地安全隔离，其安全性不依赖于手机号码本身或外部通信信道。一键登录虽然方便，但如果用户的手机号被成功劫持（SIM Swap），攻击者理论上可以在自己的设备上利用这个功能完成登录，而通行密钥因依赖设备本地安全硬件和生物识别/PIN，对 SIM 劫持有更强的抵抗力。所以如果对手机号失去了控制，一键登录仍然不安全。
防钓鱼能力：
- 一键登录： 比短信验证码登录的防钓鱼能力有所提升，因为它不再需要用户在网站上输入验证码。但如果用户访问了假冒网站，这个网站仍然可以尝试发起一键登录请求，虽然最终验证依赖于运营商，但用户可能会因界面提示而被迷惑。
- 通行密钥： 由于强绑定网站的“源”，是天然抗钓鱼的。设备只会向正确的网站提供认证信息，在假网站上根本无法完成验证。
- 对比： 通行密钥的防钓鱼能力远强于一键登录。
便捷性与适用场景：
- 一键登录： 在用户手机连接到对应运营商网络时非常便捷，实现真正的“一键”。但在 Wi-Fi 环境下、使用其他运营商号码登录、或在电脑等非手机设备上登录时则无法使用。是强依赖于特定手机和特定网络环境的认证方式。主要适用于移动 App 的快速注册和登录。
- 通行密钥： 在已注册通行密钥的设备上非常便捷（生物识别/PIN），不依赖于手机号码或特定的运营商网络，只要有互联网连接即可使用。并且支持跨设备登录（如手机授权电脑登录）。适用于多种设备和更广泛的应用场景（App、网站）。
- 对比： 一键登录在满足特定条件（同号同设备同运营商网络）时体验极致便捷，但受限较多。通行密钥的便捷性体现在跨平台跨设备、无需记忆、不依赖短信，适用范围更广且对网络类型无特殊要求。

既然通行密钥有这么多优点，那么该如何使用呢？

通行密钥的用户体验：它是怎么用的？

由于通行密钥是相对较新的技术，对要登录和用来登录的设备有条件限制。

要求

系统要求

iPhone、iPad：iOS/iPadOS 16及以上，如果要使用第三方密码管理器需要iOS/iPadOS 17 以上
Android：Android 9 以上且搭载 Google Play 服务的设备（需要能连接至 Google 服务器以保存和使用密钥）如果要使用第三方密码管理器需要 Android 14 及以上（小米在最新的 HyperOS 2 里面也加入了通行密钥的支持，这样就不需要依赖 Google 了，但是没试过）
Windows: Windows 10 1809 以上（旧版 Windows (Win7/8) 也可以但是只能使用其他设备登录，虽然最高仅支持内核版本109但是这个版本也有通行密钥支持）
macOS: macOS 13 以上
Linux：不同发行版的最近几个版本（Linux不能存储密钥只能使用其他设备登录，主要靠浏览器支持）

软件要求

使用支持的浏览器，例如Chrome/Edge/Firefox/Safari，且版本不能过旧，或者支持的应用。
国产电脑浏览器若使用较新版本chromium内核（108以上，例如微信电脑版的浏览器）就可以，但如果是 Windows 11 23H2 以下（包括 Windows 10）就不能使用扫码登录，因为此类浏览器没有内置显示二维码的UI（这些版本的 Windows 原生不支持扫码）。

图 | 使用微信电脑版浏览器使用通行密钥登录 Google

移动版国产浏览器通常不支持。
可以在浏览器里通过加入第三方密码管理器插件的形式使用存储在密码管理器里的密钥。

其他要求

为确保通行密钥的安全，必须设置锁屏密码（Windows 是 Windows Hello PIN，账户密码不行！) 才能使用，为提升方便性，建议同时在设备上设置生物解锁（面容、指纹）。

创建（注册）密钥方法

以国内能访问的国外服务，微软为例：

转到 https://account.microsoft.com/security 打开安全性设置。
点击“管理我如何登录”打开登录选项设置。
下拉找到“添加登录或验证的方式”，并选择“密钥 (Passkey)”
根据提示，在设备上完成生物验证或者锁屏密码验证。如果要在其他设备上存储，请选择“其他选项”，并选择二维码图标（不同系统和软件叫法不一样，但都是二维码图标的）。如果要在第三方密码管理器保存则在弹出窗口选择相应的密码管理器或者浏览器扩展弹窗中操作。
创建后，给密钥取个名字。

如果需要在硬件安全密钥上创建，确保密钥支持FIDO2协议（例如Yubikey 5 系列）并在提示时输入或者创建PIN码。其中一款 Yubikey 长这样，这是 YubiKey 5c：在这里插入图片描述
为了确保不会使用插在远程电脑上的硬件密钥以远程登录，除了输入 PIN 码以外还得触摸金条（如上图所示）。不同密钥的触摸位置不同，有的是金色圆盘，有的是金条，有的是按下按钮，也有的是没有的（这种密钥在使用一次后即关闭，需要重新插拔才能继续使用）

使用（登录）密钥方法

打开支持通行密钥的网站并登录。
找到通行密钥登录的选项。部分网站在点击用户名输入框后系统会自动建议使用已保存的密钥登录，此时无需输入用户名即可登录。如果没有找到登录选项则请先输入用户名。
在设备上完成身份验证（生物或者锁屏密码）。如果使用其他设备上的密钥，请选项相应选项（通常都是带有二维码图标的）并使用设备扫码登录。扫码后将在你的设备上弹出可用账户并要求你完成设备端验证（生物或者锁屏密码）。（前图已经展示扫码过程和设备验证过程，这里不再重复）

图片里展示了 Windows 版 Chrome 可使用谷歌账户里的密钥的场景。下一部分将讲述如何在任意电脑设备上使用谷歌账户里的密钥。

如果使用硬件密钥，请选择“安全密钥”选项然后根据提示输入密钥 PIN 码并在灯光闪烁时触摸完成验证。
以下视频演示如何使用安全密钥登录。展示的视频是使用密钥登录 Windows，但方法与在网站上登录一致（可能需要在不同菜单中选择相应选项才能使用密钥登录）。

使用硬件安全密钥登录 Windows

同步通行密钥到新设备的方法：

如果通行密钥只能在现有设备上使用那也将造成不方便。幸运的是，不同设备厂商提供了不同的方式将通行密钥同步到新设备上的方法。

苹果（iOS，iPadOS，macOS）

在新设备上使用苹果账户登录到 iCloud。
出现提示时（可能需要点击设置里的通知），输入之前同步过账号数据的任意设备的锁屏或者登录密码。

如果使用快速设置，则所有数据将直接传送到新设备上，无需进行上述操作。

安卓

在新设备上使用谷歌账户登录。
出现提示时，验证谷歌账户密码，任意现有设备的锁屏密码或者之前创建的 PIN 码以恢复端对端数据。

Windows/Linux （使用谷歌账户里存储的密钥）

Windows 存储的密钥仅存储在本地，不能转移，Linux 本身不支持存储密钥，但是谷歌已经在所有电脑版的 Chrome 上支持同步谷歌账户上的密钥了。
若要同步密钥：（此方法目前不适用于iOS、iPadOS，但谷歌正在加入支持计划）

确保满足上述系统要求，Chrome 是最新版本且已登录，如果是 Windows 用户还需确保电脑有 TPM (受信任的平台模块，最近几年的设备都有，可以Win+R打开tpm.msc查看是否有，如果没有那么得看BIOS设置里面有没有相关设置并打开）。
使用 Chrome 浏览器访问任意支持通行密钥的网站。
创建或者使用通行密钥登录。
如果是第一次在这台设备上使用谷歌账户里的密钥，Chrome 会出现类似下面的提示，询问你是否需要存储或使用存在谷歌账户上的通行密钥。
点击下一步，此时会发生以下几种情况：
- 弹出一个窗口，要求验证已关联的任意安卓设备的锁屏密码。如果忘记设备锁屏密码，根据情况可能可以使用谷歌账户密码或者谷歌密码管理器的 PIN 码作为回退。
- 如果没有在安卓设备上创建密钥（或者没有安卓设备），在首次创建密钥时 Chrome 会要求创建恢复 PIN，以在其它设备上同步密钥。
- 如果已经创建了一个恢复 PIN 码，那么在第一次使用前要输入此 PIN 码以恢复通行密钥数据。由于密钥是端对端加密的，因此忘记 PIN 码将无法恢复通行密钥。

通行密钥的现状与未来展望

在国外，通行密钥已经切实地走进了他们的数字生活，并且正迅速普及。得益于科技行业的共同努力，特别是苹果、谷歌和微软这三大平台巨头在各自操作系统（iOS, Android, macOS, Windows）和浏览器中内置对通行密钥的广泛支持，通行密钥的生态系统正日益成熟。越来越多的国外知名网站和服务已经开始提供通行密钥的登录选项，涵盖了社交媒体、金融服务、电子商务、工作平台等多个领域，例如 Google 账户、微软账户、亚马逊、eBay 等。完整的支持列表可在这里查看。

与全球的快速普及相比，通行密钥在中国内地的发展和应用，目前还处于相对早期的阶段，支持范围非常有限。

虽然基于 FIDO 标准的通行密钥是国际公认的下一代认证技术方向，并且在安全性和便捷性上优势显著，但在中国，支持国际通行密钥标准的平台和应用数量仍然很少，远未成为主流。目前，主要是少数具有国际化背景或在特定领域进行技术探索的公司，在部分服务或特定场景下尝试提供类似或基于 FIDO 标准的认证选项。例如，用户可以在已经接入了小米相关 API 的应用、服务或功能中，阿里云RAM用户，飞书，以及绑定了国外手机号的 iOS 版微信 (WeChat) 中看到对相关技术的支持和试验性应用。但这尚未覆盖国内绝大多数主流的互联网应用、金融服务或政务平台。图 | 使用通行密钥登录小米账户

这种相对缓慢的普及速度，可能受到多种因素的影响，包括中国独特的互联网市场环境、用户长期形成的以手机号+验证码为主的认证习惯、国内现有的身份认证基础设施特点，以及大型平台自身的技术路线选择和互操作性建设优先级等。

然而，尽管当前支持度有限，但通行密钥在安全性和便捷性上的核心价值依然存在，并且全球范围内的技术演进趋势是不可逆转的。随着用户对账户安全风险的认知提升（尤其是在经历过一些数据泄露事件后），以及国内技术生态的不断成熟和演进，通行密钥或融合了其核心理念的、更安全便捷的无密码认证方案，在中国被更广泛采纳的可能性依然存在。未来其普及速度将很大程度上取决于中国主要的互联网平台、设备制造商以及相关管理机构的推动意愿和互操作性建设。虽然完全实现“无密码未来”在中国可能还需要更长时间的过渡，但通行密钥指明的安全便捷认证方向，依然值得期待。