本期 Security Bite 由 Mosyle 独家呈现,Mosyle 是唯一的 Apple 统一平台。让 Apple 设备实现工作就绪和企业级安全是我们唯一专注的事。我们独特的集成管理与安全方法,将最先进的 Apple 专用安全解决方案结合在一起,提供完全自动化的强化与合规、下一代 EDR、AI 驱动的零信任,以及独家的权限管理,再搭配市场上最强大、最现代的 Apple MDM。其结果是一个完全自动化的 Apple 统一平台,目前已被超过 45,000 家组织所信赖,让数百万台 Apple 设备轻松实现工作就绪,既省力又价格亲民。今天就申请您的延长试用,了解为什么 Mosyle 是您与 Apple 协作所需的一切。
多年来,乐观的支持者一直宣称通行密钥是登录的未来,而传统密码则是过去的方式。它被赞誉为无摩擦且安全得多的替代方案。但本周,我使用普通密码进行身份验证的次数多到数不清。
别误会,通行密钥的采用速度令人印象深刻。这一点稍后会详细说明。然而,我不禁反思当前的登录状态,以及在远更优秀的技术出现后,较差的技术为何仍占据主导。

通行密钥实际上是两个加密密钥。一个私钥永远不会离开你的设备,另一个公钥则保存在你要登录的网站上。当你登录时,你的设备会证明自己持有私钥,而无需发送任何中间人(网络犯罪分子)可能截获的内容,这就是为什么通行密钥无法像输入密码那样被钓鱼攻击。
我能想到的最好解释是:密码是你知道的东西;而通行密钥是你拥有的东西(在设备上)或你本身的东西(生物识别 ID)。
在你的 Apple 设备上,Face ID 或 Touch ID 负责验证,私钥则存放在 Secure Enclave 中。如果你使用多台设备,iCloud 钥匙串会安全地在 iPhone、iPad 和 Mac 之间同步私钥,且都在各自的 Secure Enclave 保护边界内。
根据 FIDO 联盟的数据,目前已有超过 150 亿个账户可以使用通行密钥登录,Google 表示其通行密钥已在超过 4 亿个账户上完成了超过 10 亿次用户身份验证。在 2025 年 WWDC 大会上,Apple 推出了一款新的账户创建工具,让应用从一开始就用通行密钥为你注册,因此永远不需要密码。Microsoft 则更进一步,将新账户默认设置为无密码。
然而,企业对采用通行密钥仍存在显著阻力。最近甚至出现了一个新网站,专门曝光那些还没为用户提供通行密钥的热门网站。榜单上的一些名字令人震惊:Instagram、Spotify、Netflix。
采用阻力主要源于恢复机制。
FIDO2 这一标准的通行密钥协议没有内置的恢复流程。如果你丢失了所有持有通行密钥的设备,你的备选方案就是……电子邮件重置链接。这正是通行密钥旨在彻底淘汰的弱点。因此,SaaS 公司和其他网站仍会在登录界面保留旧的密码字段作为备份。
可移植性是另一个问题,但它正在快速得到解决。
由于通行密钥分别存放在 iCloud 钥匙串、Google 密码管理器、不同浏览器等环境中,这些保险库互不通信,因此无法相互传递凭证。但这种情况正在慢慢改变。Apple 在 iOS 26 中添加了跨平台通行密钥导入和导出功能。这一宣布标志着语气上的显著转变,因为 Apple 的钥匙串生态系统此前整合得非常紧密。
在背后的凭证交换协议能在所有平台上顺畅工作之前,切换生态系统可能会让无密码变成锁定。

iPhone 上原生支持通行密钥导入和导出
TL;DR
密码学本身非常可靠,并且在防钓鱼方面极其出色。它并非技术上的终极解决方案。通行密钥的问题更多在于操作层面。恢复机制需要可靠,可移植性必须无缝,而且网站必须真正移除密码字段,密码时代才能真正终结。
Apple 领先于大多数平台,拥有最流畅的生态系统体验(这一点毫不意外),并在 Google 之前推出了导出支持。但在上述差距完全弥合之前,我认为那些登录输入框短期内还不会消失。
通行密钥终将成为身份验证的未来……只是迟早的事。
Security Bite 是我们每周对 Apple 安全世界的深度剖析。每周,Arin Waichulis 都会拆解新的威胁、隐私问题、漏洞等,塑造一个涵盖超过 20 亿台设备的生态系统。


















