Windows 中对密钥的支持
与密码相比,密钥提供了一种更安全、更方便的登录网站和应用程序的方法。 与用户必须记住和键入的密码不同,密码作为机密存储在设备上,可以使用设备的解锁机制 (生物识别或 PIN) 。 无需进行其他登录质询即可使用密钥,从而使身份验证过程更快、更安全、更方便。
可以将密钥与支持它们的任何应用程序或网站一起使用,以便使用 Windows Hello 创建和登录。 使用 Windows Hello 创建并存储密钥后,可以使用设备的生物识别或 PIN 进行登录。 或者,可以使用手机或平板电脑) (配套设备登录。
注意
从具有 KB5030310 的 Windows 11 版本 22H2 开始,Windows 提供密钥管理的本机体验。 但是,可以在所有受支持的 Windows 客户端版本中使用密钥。
本文介绍如何在 Windows 设备上创建和使用密钥。
密钥的工作原理
Microsoft长期以来一直是 FIDO 联盟的创始成员,并帮助在 Windows Hello 等平台验证器中本机定义和使用密钥。 密钥使用 FIDO 行业安全标准,所有主要平台都采用该标准。 Microsoft等领先的技术公司正在支持作为 FIDO 联盟的一部分的密钥,许多网站和应用正在集成对密钥的支持。
FIDO 协议依赖于标准公钥/私钥加密技术来提供更安全的身份验证。 当用户向联机服务注册时,其客户端设备将生成新的密钥对。 私钥安全地存储在用户的设备上,而公钥则注册到服务。 若要进行身份验证,客户端设备必须通过对质询进行签名来证明其拥有私钥。 只有在用户使用 Windows Hello 解锁因子 (生物识别或 PIN) 解锁私钥后,才能使用私钥。
FIDO 协议优先考虑用户隐私,因为它们旨在防止联机服务跨不同服务共享信息或跟踪用户。 此外,身份验证过程中使用的任何生物识别信息都保留在用户的设备上,不会通过网络或服务传输。
密码与密码的比较
与密码相较,密码具有多种优势,包括其易用性和直观性。 与密码不同,密钥易于创建,无需记住,也不需要受到保护。 此外,每个网站或应用程序都唯一的密钥,从而阻止其重用。 它们高度安全,因为它们仅存储在用户的设备上,服务仅存储公钥。 密钥旨在防止攻击者猜测或获取密钥,这有助于他们抵御攻击者可能试图诱使用户泄露私钥的钓鱼尝试。 浏览器或操作系统强制使用密钥,使其仅用于适当的服务,而不依赖于人工验证。 最后,密钥提供跨设备和跨平台身份验证,这意味着一台设备的密钥可用于在另一台设备上登录。
Windows 版本和许可要求
下表列出了支持密钥的 Windows 版本:
| Windows 专业版 | Windows 企业版 | Windows 专业教育版/SE | Windows 教育版 |
|---|---|---|---|
| 是 | 是 | 是 | 是 |
Passkeys 许可证权利由以下许可证授予:
| Windows 专业版/专业教育版/SE | Windows 企业版 E3 | Windows 企业版 E5 | Windows 教育版 A3 | Windows 教育版 A5 |
|---|---|---|---|---|
| 是 | 是 | 是 | 是 | 是 |
有关 Windows 许可的详细信息,请参阅 Windows 许可概述。
用户体验
创建密钥
默认情况下,Windows 提供在 Windows 设备上本地保存密钥,在这种情况下,该密钥受 Windows Hello (生物识别和 PIN) 保护。 还可以选择将密钥保存在以下位置之一:
- iPhone、iPad 或 Android 设备:密钥保存在手机或平板电脑上,并受设备生物识别保护(如果设备提供)。 此选项要求你使用手机或平板电脑扫描 QR 码,必须靠近 Windows 设备
- 链接设备:密钥保存在手机或平板电脑上,如果设备提供,则由设备生物识别保护。 此选项要求链接的设备靠近 Windows 设备,并且仅支持 Android 设备
- 安全密钥:将密钥保存到 FIDO2 安全密钥,该密钥的解锁机制 (例如生物识别或 PIN)
选择以下选项之一,了解如何根据存储密钥的位置保存密钥。
Windows 设备
新手机或平板电脑
链接的手机或平板电脑
安全密钥- 打开支持密钥的网站或应用
- 从帐户设置创建密钥
- 选择“使用其他设备>下一步”选项
- 选择“此 Windows 设备>下一步”
- 选择 Windows Hello 验证方法并继续验证,然后选择“ 确定”
- 该密钥将保存到 Windows 设备。 若要确认,请选择 “确定”
使用密钥
当你打开支持密钥的网站或应用时,如果密钥存储在本地,系统会自动提示你使用 Windows Hello 登录。 还可以选择从以下位置之一使用密钥:
- iPhone、iPad 或 Android 设备:如果要使用存储在手机或平板电脑上的密钥登录,请使用此选项。 此选项要求你使用手机或平板电脑扫描 QR 码,必须靠近 Windows 设备
- 链接设备:如果要使用存储在靠近 Windows 设备的设备上的密钥登录,请使用此选项。 此选项仅支持 Android 设备
- 安全密钥:如果要使用 FIDO2 安全密钥上存储的密钥登录,请使用此选项
根据保存密钥的位置,选择以下选项之一来了解如何使用密钥。
- 打开支持密钥的网站或应用
- 选择“ 使用密钥登录”或类似选项
- 选择“使用其他设备>下一步”选项
- 选择“此 Windows 设备>下一步”
- 选择 Windows Hello 解锁选项
- 选择 “确定” 以继续登录
管理密钥
从具有 KB5030310 的 Windows 11 版本 22H2 开始,你可以使用“设置”应用查看和管理为应用或网站保存的密钥。 转到“设置帐户>密钥”>,或使用以下快捷方式:
- 将显示已保存的密钥列表,可以按名称筛选它们
- 若要删除密钥,请选择“ ...” > 删除密钥 名称旁边的 passkey
注意
无法删除 login.microsoft.com 的某些密钥,因为它们与 Microsoft Entra ID 和/或 Microsoft 帐户一起使用以登录到设备和Microsoft服务。
蓝牙受限环境中的密钥
对于密钥跨设备身份验证方案,Windows 设备和移动设备都必须启用蓝牙并连接到 Internet。 这允许用户通过蓝牙安全地授权另一台设备,而无需传输或复制密钥本身。
某些组织限制蓝牙的使用,包括使用密钥。 在这种情况下,组织可以通过允许仅使用已启用密钥传递的 FIDO2 验证器进行蓝牙配对来允许密钥。
若要将蓝牙的使用限制为仅传递密钥用例,请使用 蓝牙策略 CSP 和 DeviceInstallation Policy CSP。
设备配置
以下说明提供了有关如何配置设备的详细信息。 选择最适合需要的选项。
Intune/CSP
PowerShell若要使用 Microsoft Intune 配置设备, 可以结合以下设置使用自定义策略 :
| 设置 |
|---|
./Device/Vendor/MSFT/Policy/Config/Bluetooth/允许广告 0 设置为 0时,设备不会发送广告。 |
./Device/Vendor/MSFT/Policy/Config/Bluetooth/AllowDiscoverableMode 0 设置为 0时,其他设备无法检测到该设备。 |
./Device/Vendor/MSFT/Policy/Config/Bluetooth/AllowPrepairing0 防止特定的捆绑蓝牙外设自动与主机设备配对。 |
./Device/Vendor/MSFT/Policy/Config/Bluetooth/AllowPromptedProximalConnections 0防止用户使用 Swift Pair 和其他基于邻近的方案。 |
./Device/Vendor/MSFT/Policy/Config/Bluetooth/ServicesAllowedList {0000FFFD-0000-1000-8000-00805F9B34FB};{0000FFF9-0000-1000-8000-00805F9B34FB} 设置允许的蓝牙服务和配置文件的列表: - FIDO 联盟通用第二因素验证器服务 ( 0000fffd-0000-1000-8000-00805f9b34fb) - FIDO2 保护客户端到验证器的传输服务 ( 0000FFF9-0000-1000-8000-00805F9B34FB) 有关详细信息,请参阅 FIDO CTAP 2.1 标准规范 和 蓝牙分配号码文档。 |
./Device/Vendor/MSFT/Policy/Config/DeviceInstallation/PreventInstallationOfMatchingDeviceIDs<enabled/><data id="DeviceInstall_IDs_Deny_Retroactive" value="true"/><data id="DeviceInstall_IDs_Deny_List" value="1BTH\MS_BTHPAN"/>禁用现有的蓝牙个人区域网络 (PAN) 网络适配器,从而阻止安装可用于网络连接或网络共享的蓝牙网络适配器。 |
注意
应用设置后,如果尝试通过蓝牙配对设备,它将最初配对并立即断开连接。 蓝牙设备被阻止加载,并且在“设置”或“设备管理器”中不可用。
提供反馈
若要为密钥提供反馈,请打开 “反馈中心 ”,并使用“ 安全和隐私 > 密钥”类别。