该 安卓系统已经引入了密码密钥(Passkey),并将逐步取代密码。这并非一时风潮:谷歌、微软、苹果以及众多其他主流服务商已经在使用或推荐这些技术。如果它们听起来很奇怪或过于技术化,请不要担心,因为它们的真正目的恰恰相反:让登录更简单、更安全。
在本指南中,您将学习 什么是密码密钥?为什么密码密钥比密码更能保护您的帐户?以及如何在 Android 上设置和使用密码密钥?您将学习如何将它们与 Google 凭据管理器结合使用,以及在手机丢失时应采取哪些预防措施以避免陷入困境。您还将了解它们在其他系统和服务中的使用方式,从而获得全面的了解。
什么是通行密钥?为什么它们如此引人关注?
简而言之,通行密钥就是 一种独特的数字密钥,允许您无需输入密码即可登录特定应用程序或网站。底层采用公钥加密技术(WebAuthn/FIDO2 标准),但您只会看到它要求输入指纹读取器、面部解锁或移动 PIN 码。
创建通行密钥时,您的设备会生成 一对密钥:一个存储在手机上的私钥和一个发送到服务器的公钥。服务器永远不会存储您的私钥,因此即使发生大规模数据泄露,被盗信息也不足以冒充您(如果您想了解更多相关信息)。 管理密码(有专门的指南)。
另一个关键特征是 每个通行密钥都与单个服务和特定域关联。无论是你还是攻击者,都无法在其他网站上重复使用该密码。这彻底解决了到处使用相同密码的常见问题。
此外,通行密钥的设计目的是为了 防钓鱼浏览器和操作系统会先验证通信的域名是否正确,然后才允许使用通行密钥。如果虚假网站试图冒充原网站,通行密钥将无法使用。
在像谷歌或苹果这样的生态系统中, 通行密钥通过与您的帐户关联的云端进行同步。 (例如 Google 帐户、iCloud 帐户等)。这样,您就可以从不同的设备登录,而无需像许多传统密码管理器那样,在每个设备上手动输入所有密码。
与传统密码相比的优势
第一个很大的区别是 使用 Passkeys,您无需再记忆密码和复杂的模式。您的设备解锁方式(指纹、面部识别、PIN 码或图案)将用于确认您本人是否正在尝试访问该帐户;如果您更喜欢使用管理员,以下是管理员列表: 密码管理员 推荐。
从安全角度来看, 密码容易遭受泄露、暴力破解攻击、重复使用和网络钓鱼等攻击。通行密钥无法通过大量尝试来猜测或强行破解,因为它不是发送到服务器的文本,而是使用您的私钥签名的加密操作的结果。
“我收到一封骗子邮件,在虚假网站上输入了密码”这类常见问题也随之消失,因为 通行密钥仅响应官方域名。该协议本身可以防止您签署任何与最初注册的网站不符的网站内容。
就舒适度而言,变化相当显著: 要登录,通常只需点击“使用密码”,然后输入您的生物识别信息即可。无需再在手机上输入冗长的密码,无需再搜索短信验证码,也无需隔天复制验证应用程序代码。
最后,就维护保养而言, 不再出现频繁的“忘记密码?”重置提示您仍然可以拥有恢复方法,但日常访问更加直接,阻力更小。
在安卓设备上安全使用密码的要求
在 Android 系统中,访问键已通过以下方式原生集成: Google 密码管理器和凭据管理器 API为确保一切正常运行,最好检查一下手机上的几个基本要点。
首先是系统版本。虽然 Android 从版本 9 开始就支持密码功能了。Android 14 及更高版本带来了真正完善的体验,包括与各种管理器的集成以及统一的访问方式选择。
你还需要有 Google Play 服务和您更新后的浏览器Chrome 108 或更高版本已经提供了对密码的基本支持,更新的版本改进了界面并添加了额外功能,例如使用密码登录后自动创建密钥。
另一个重要的要求是 一种安全的屏幕锁定方法PIN码、图案、密码或生物识别。如果您的手机未受保护,Android 系统将不允许使用密码,这正是为了防止任何人访问您的帐户。
最后,值得调整一下谷歌的自动补全设置。通过启用 “使用 Google 自动填充”以及密码和访问密钥选项该系统将能够从同一个面板中建议已保存的密码和通行密钥以及联合访问(例如“使用 Google 登录”)。
如何在安卓设备上创建和配置密码密钥(分步教程)
在 Android 系统中,使用访问键主要涉及两个关键组件: 设备屏幕锁定和凭证管理器准备就绪后,大部分工作都可以直接通过各个服务的网站或应用程序完成。
第一步是确保 您已配置了强大的屏幕锁定功能。前往“设置”中的“安全”部分,输入“屏幕锁定”,然后选择 PIN 码、图案或密码,如果您的手机支持,还可以添加指纹或面部识别;如果您想加强防丢或防盗保护,请查看如何配置。 强大的屏幕锁.
接下来,在 Android 设置中,转到 Google 部分并搜索 “使用 Google 自动填充”或“密码、访问密钥和帐户”启用此选项,允许 Google 管理密码和通行密钥,以便凭据管理器 API 可以统一管理所有内容;如果您更喜欢使用其他软件,请参阅相关说明。 密码管理员 这样更安全。
从那时起,当你进入兼容的网站或服务(例如,谷歌、微软、TikTok、亚马逊、PayPal、WhatsApp 等)并进入其安全区域时, 您会看到类似“创建访问密钥”、“创建通行密钥”或“密码”的选项。所有平台的功能都非常相似。
流程通常是这样的:您输入用户名,使用您当前使用的验证方式(例如,密码和两步验证)进行身份验证,然后服务会为您提供服务。 创建与该设备关联的密码Android 系统会显示一个凭证管理器框供您确认,一旦您输入指纹、面部或 PIN 码,密钥就会被保存。
示例:在 Android 设备上使用 Google 帐户的密码
谷歌是安卓系统中这些按键如何运作的最全面示例之一,无论对于…… 无需密码登录 例如管理多个 FIDO2 兼容的硬件安全设备和钥匙。
首先,请检查您是否符合谷歌的要求: Android 9 或更高版本,浏览器已更新(Chrome 109 或更高版本),屏幕锁定已启用 如果您想将手机用作电脑的无线网卡,请在两台设备上都打开蓝牙。如果您想了解如何将手机用作电脑的无线网卡,请点击此处查看详情。 使用手机作为安全密钥.
要在您的移动设备上创建通行密钥,请前往 myaccount.google.com/signinoptions/passkeys如果系统提示,请登录并点击“创建访问密钥”。系统会要求您解锁设备才能完成此过程。
如果需要,您还可以 使用 FIDO2 物理安全密钥创建通行密钥 (例如 YubiKey 或 Titan 钥匙)。在同一页面上,选择“使用其他设备”,根据提示连接 USB 或 NFC 钥匙,并使用该钥匙的 PIN 码或指纹传感器进行身份验证。
一旦你在 Google 帐户中创建了至少一个密码,下次你从兼容的设备登录时, 系统会建议您直接使用访问密钥而不是密码。在安卓系统上,通常只需在选择屏幕上点击您的帐户,然后通过生物识别进行确认即可。
如何在安卓和其他设备上使用密码登录
当您在 Android 设备上打开支持快捷键的应用或网站时, 凭证管理器会显示可用帐户列表。 该服务结合了密码、通行密钥和联合访问。
如果您只保存了一个帐户,那么在 Android 15 上几乎可以瞬间访问: 您选择账户并通过屏幕锁定进行验证。在 Android 14 及更早版本中,通常会先弹出一个窗口,要求您确认电子邮件或用户名。
如果你使用多个账户登录同一服务,你会看到所有账户都列在那里。在这种情况下, 选择正确的账户,然后通过生物识别技术进行验证。如果网站同时提供密码和通行密钥,Android 会尝试推荐通行密钥作为首选选项。
如果您的账户未列出,或者您希望使用其他方法, 您随时可以点击“更多选项”、“登录选项”或类似选项。那里列出了其他选项:手动输入密码、使用 Google 登录等。
一个重要的细节是跨平台登录的工作原理:如果您想使用手机密码在电脑上登录您的 Google 帐户, 在电脑登录界面,选择“使用您的访问密钥”或“尝试其他方式”。 然后选择手机选项,屏幕上将显示一个二维码,您需要使用手机摄像头扫描该二维码并通过生物识别技术进行验证。
使用 Android 凭证管理器的统一体验
凭证管理器是 Android 层, 它将访问密钥、密码和联合访问整合到一个统一的界面中。系统不会在屏幕上显示“使用 X 访问”或“使用 Y 登录”按钮,而是显示一个智能选择器。
在 Android 14 及更高版本中,凭证管理器 它与多种已启用密码管理器兼容。 设备上会显示来自包括谷歌在内的所有第三方的凭据。Android 负责收集所有这些凭据,并按最近使用时间排序显示。
如果您在不同的管理器中保存了同一个帐户的密码和通行密钥, 系统将优先处理访问密钥 因为这是最安全、最方便的方法,尽管它也提供了从“更多选项”中使用密码的选项。
这样一来,您就不必记住您是将凭据保存在 Google 密码管理器、第三方管理器还是制造商提供的解决方案中了: Android的对话将它们置于中心位置。 它让你无需在应用程序之间疯狂切换即可进行选择。
在设计应用或网站时,谷歌建议采用这种统一的方法: 调用凭据管理器,不要为每种启动方法都设置单独的按钮。避免混淆并提高密码密钥的采用率。
在合适的时机创建通行密钥:创建、恢复和管理
使用密码的人考虑的关键因素之一是 在合适的时机以清晰的信息展示该选项。仅仅把它藏在设置的某个角落里,指望有人发现是不够的。
创建新账户时,用户就已经开始考虑以后如何登录了,因此 现在正是提出创建访问密钥作为首选方案的绝佳时机。但是,我们始终会为那些喜欢使用密码的用户提供基于密码的替代方案。
在以下情况下提供密码创建功能也很有意义: 有人刚刚经历了重置密码的麻烦。这时,这个人会更加意识到健忘有多么令人恼火,也更容易接受那些承诺能让他们忘记密码的解决方案。
对于存在时间较长的账户,最好添加以下内容 在安全或配置文件菜单中设置一个清晰的版块,用于管理访问密钥。从那里,您应该能够创建新的帐户、查看现有的帐户以及删除不再需要的帐户。
与这些流程相关的文本应该是 简短、直接、重点突出。 (速度更快、更安全、无需密码),使用通俗易懂的语言,避免使用晦涩难懂的密码学术语。如果有人需要了解技术细节,文中始终提供指向更高级文章的链接。
如何向非技术用户解释密码密钥
尽管“访问密钥”或“通行密钥”是业内公认的标准术语, 整个设计都围绕这个词展开是不明智的。因为这对于大多数人来说仍然是新的,听起来可能很奇怪。
最有效的方法是将信息重点放在体验上: “无需输入密码,即可使用指纹、面部或PIN码登录”这样一来,你就已经告诉用户将会发生什么,而无需描述其背后的整个机制。
建议在文本中或按钮上提及“访问密钥”一词,例如: “创建访问密钥”以便用户能够将其关联起来,并了解该名称将出现在系统或 Google 的其他屏幕上。
在解释存储时,谈论存储更自然 “将访问密钥保存到” 避免使用复杂的概念。在流程结束时,显示类似“您的访问密钥已成功创建”的清晰信息可以增强用户的信心。
为了与 Android 和凭证管理器 API 保持一致,这样做更好。 不要自行发明替代按钮标签使用“创建访问密钥”可以避免用户在流程的每个步骤中看到不同的文本而感到困惑。
在 Android 和其他系统上管理和删除密码
通行密钥不会以文本密码的形式显示,而是…… 是的,可以在安全设置中查看和管理它们。 可从各个平台或门店所在地的经理处获取。
在安卓系统中,菜单的具体位置会因厂商定制的系统界面而略有不同,但通常你会看到类似这样的界面: “密码、访问密钥和帐户”或“密码管理器”在三星设备上,生物识别和按键组件通常与 三星通行证.
iOS 允许您查看和管理您的钥匙 设置 → 密码 (在 iOS 18 中,它被单独放在一个“密码”应用中)。该应用也出现在 macOS Sequoia 及更高版本中,而在早期版本中,它位于系统设置中。
Windows 添加了一个部分 “设置”→“帐户”中的“访问密钥”。如果你使用谷歌的密码管理器,你可以像管理密码一样,从管理器的网站上查看和管理已保存的密钥。
你应该始终拥有以下选择权: 删除与您的帐户关联的访问密钥 当您停止使用设备或不小心在共享手机上创建了密钥时,即使有时还需要从相应的密码管理器中删除它,一旦从任何一方删除,该密钥也将无法用于登录。
通行密钥和多因素身份验证:短信、应用程序和通行密钥
实际上,通行密钥充当…… 集成到单个操作中的多因素身份验证方法因为它们结合了你拥有的东西(设备)、你知道的东西(PIN 码)和你自身的特征(指纹或面部),具体取决于你的配置方式。
这使得它们比其他同类产品更能抵御网络钓鱼攻击。 来自许多双重验证系统的短信验证码或临时密钥如果你被恶意电子邮件欺骗,你可以在虚假网站上输入这些信息。
在企业或教育环境中,例如使用 Microsoft 365 或 Google Workspace 管理的帐户, 通行密钥可以作为第二因素、恢复选项或确认敏感操作的机制。但是,管理员可以限制只有使用访问密钥的用户才能登录。
例如,微软允许您进行配置 通过 Microsoft Authenticator 应用与设备关联的通行密钥这些密钥不会通过云端同步,这增加了安全性,但也意味着如果您丢失了手机,您将不得不在另一台设备上设置新密钥。
一般建议不要依赖单一的手机: 如果您有多台个人设备,请在每台设备上创建一个密码。这样,即使丢失了一个帐户,您也不会完全被锁定,并且可以在重新配置所有内容的同时继续访问您的帐户。
当前密码密钥与平台和服务的兼容性
截至目前,密码密钥已得到支持。 主要操作系统:Android、iOS/iPadOS、Windows 10/11、macOS Ventura 及更高版本,以及 ChromeOS以及最常用的浏览器,如 Chrome、Edge、Safari,以及在某些限制条件下,Firefox。
在服务业,这个名单还在不断增加: Google(包括 YouTube)、Microsoft 和 Xbox、Meta(包括 Facebook 和 WhatsApp)、Apple(包括 iCloud) 像 X/Twitter、LinkedIn、TikTok、Discord、Amazon、PayPal、Yahoo、GitHub 或 Adobe 这样的平台已经支持访问密钥;如果您想了解它们是如何工作的,可以查看相关文档。 WhatsApp密码,有具体的指南。
还有一些知名企业尚未加入,或者只是部分加入。 例如某些购物门户网站、音乐服务或人工智能工具在这些系统中,您仍然需要使用密码,而且充其量只能使用经典的双重身份验证。
如果您使用多个操作系统和浏览器,您可能会注意到使用体验上的差异: 并非所有网站的密码输入界面都同样完善。 即使已经拥有访问密钥的技术支持,有些人仍然优先考虑密码。
对于那些同时使用 Android、Windows、macOS、Linux 和不同浏览器的用户来说, 一个好的解决方案是使用支持密码密钥的第三方密码管理器。 在所有这些平台上。这为您提供了一个独立于苹果、谷歌或微软的同步层。
使用密码密钥的风险、局限性和最佳实践
虽然与传统密码相比,通行密钥大大提高了安全性, 它们并非万能灵药。配置这些设备时,应注意一些风险和局限性。
最明显的例子是: 任何能解锁你设备的人都可以使用你的访问密钥。如果你在家与他人共用一台电脑或平板电脑,或者你的手机密码非常简单,那么其他人无需知道任何密码即可访问你的帐户。
如果出现以下情况,则会出现另一个主要问题: 你的所有密码都保存在一个设备上,如果该设备损坏、丢失或被盗,那么该设备也就被盗了。如果您还禁用了几乎所有基于密码或备用电子邮件的恢复方法,则重新获得访问权限可能会很慢,或者在某些服务中会非常复杂。
您还必须记住 许多网站即使启用了密码验证,仍然需要密码登录。这意味着,如果你的旧密码强度不够或者你重复使用了旧密码,攻击者如果以某种方式获得了该密码,仍然可以获得访问权限。
因此,坚持一些基本原则是值得的: 强大的屏幕锁定机制、始终保持设备更新、至少一种备用恢复方法,以及(如果可能的话)多台配置了密码的设备 对于您的重要账户,请考虑使用 防盗应用程序 降低手机丢失或被盗的风险。
身份验证格局正在迅速变化,而密码密钥正成为兼顾便捷性和安全性的最佳选择。了解密码密钥在 Android 上的工作原理、如何与凭证管理器集成,以及它们与密码、短信和验证应用程序共同发挥的作用,可以帮助您…… 即使丢失手机或更换设备,也不用担心,尽情享受它带来的好处吧。使用一个更能抵抗攻击、更方便您日常生活使用的系统。
