本周，蘋果公司在全球開發者大會(WWDC)上展示了一項即將上線的新功能，解決了“密鑰(passkey)”目前最大的短板之一。作為一種面向網站和應用程序身份驗證的行業標準，密鑰可以避免傳統密碼所面臨的釣魚攻擊和憑證泄露等風險。

　　蘋果演示的“密鑰導入/導出”功能將出現在下一代的 iOS、macOS、iPadOS 和 visionOS 系統中。這項功能旨在打破密鑰在系統或憑證管理器之間難以遷移的限制。例如，在 Mac 上生成的密鑰雖然可以同步到同一 iCloud 賬號下的蘋果設備，但想要將其轉移到 Windows 設備，或哪怕是轉移到同一臺設備上的第三方憑證管理器，目前都無法實現。

　　成長的陣痛

　　由于這種封閉性，外界批評密鑰技術是大型科技公司試圖鎖定用戶在其生態系統內的一種手段。用戶也有合理擔憂：一旦設備丟失或損壞，無法轉移密鑰就可能導致賬戶無法訪問。

　　作為推動該認證標準的“FIDO 聯盟”(由逾 100 家平臺提供商、應用開發者和網站組成)早已意識到這一問題，并正在開發新的 API，提升密鑰的跨平臺可用性。根據 Android Authority 對谷歌密碼管理器的拆解，谷歌正在積極開發相關的導入/導出工具，盡管目前尚未公布上線時間。今年早些時候，谷歌為其密碼管理器加入了向 iOS 應用導出密碼的功能，但過程繁瑣。FIDO 的最新報告也指出，Dashlane、1Password、Bitwarden、Devolutions、NordPass、Okta 等公司都已參與這一標準制定。

　　蘋果的演示視頻中提到：“人們擁有自己的憑證，就應該能夠自由選擇如何管理和在哪里管理它們。”這項密鑰遷移功能同樣支持密碼和驗證碼的同步，將為應用程序和操作系統提供一種標準化、更加安全的方式來處理憑證同步問題。

　　蘋果的方式：加密、安全、本地驗證

　　蘋果表示，這項新流程不同于傳統的導出方法，后者往往涉及將憑證導出為未經加密的 CSV 或 JSON 文件，再手動導入另一款應用。而 Apple 的導入導出流程由用戶發起，僅在兩個已參與此標準的憑證管理器應用之間直接進行，并通過本地認證(如 Face ID)進行加密保護。

　　這種方式采用與 FIDO 聯盟成員共同制定的數據結構標準，統一密鑰、密碼、驗證碼等數據的格式，并確保不會在本地磁盤生成不安全的文件，從而有效杜絕憑證被竊取的風險。

　　推動密鑰普及的根本原因在于傳統密碼管理帶來的巨大成本。為每個賬戶設置隨機生成的強密碼并不現實，用戶往往出于便利選擇弱密碼或重復使用密碼，這也導致密碼泄露屢見不鮮。

　　理論上，密鑰完全避免了釣魚攻擊、密碼數據庫泄漏等問題。它基于 FIDO2 規范，為每個網站或應用生成獨一無二的公鑰/私鑰對，公鑰發送給服務端，私鑰留在本地設備且不可導出。在登錄過程中，服務器發送一個挑戰(隨機數據)到用戶設備，設備使用對應私鑰進行簽名并返回結果，只有驗證通過才能完成身份認證。

　　這意味著：用戶設備上從未有任何敏感信息被傳輸出去，不會被中間人截獲、也無法被釣魚或暴力破解。

　　正如去年 12 月所指出，阻礙密鑰普及的最大問題就是“不夠好用”。目前，各系統和應用之間如同孤島，難以互通。除了讓用戶容易被鎖在設備之外，也大幅提升了學習成本。

　　而蘋果本周的演示，首次明確表明：密鑰的開發者們正在為提升用戶體驗做出切實努力。