PassKey 就在你的身边防止你中招钓鱼，而你还不知道

- 什么是 PassKey？

如果你用苹果，你会发现很多时候你登录一个 App 或者网页、以及支付的时候，只需要刷个脸验证。很多人都会被「叮咚」一声爽到...…  

而 Apple 的 Face ID 和 Touch ID 就是这一技术在实际应用中的一个典型例子。  

在2022年6月份，Apple 通过 WWDC 上正式宣布 Passkey 的亮相，带进了公众的视野。Passkey（通行密钥）作为一种新型的身份验证方式，目的是让我们摆脱传统的密码。  

你可以把它想象成一种“数字钥匙”，它使用设备中的 公钥和私钥 来证明你的身份，而不需要记住一串复杂的密码。

当你用 Face ID（刷脸）或 Touch ID（指纹识别）来登录时，设备不会只是简单地“扫描”你的脸或指纹，然后给你一个简单的“是”或“否”的答案。相反，背后有一个 公钥和私钥 的加密过程。  

- 这里的 公钥 和 私钥 是什么？

公钥：这是一个公开的密钥，它可以安全地存储在你登录的服务上（比如 Apple 的服务器）。它不敏感，别人看到也没关系。  

私钥：这是一个非常保密的密钥，只有你的设备知道。它用于确认你就是“你”——当你通过 Face ID 或 Touch ID 完成身份验证时，设备会用私钥来“签名”，证明你是账户的合法所有者。苹果的私钥是储存在加密芯片的（是不是让你想起了硬件钱包）。

- Face ID / Touch ID 的 PassKey 如何运作？

设备上生成密钥对：在你首次设置 Face ID 或 Touch ID 时，设备会生成一对密钥：一个是 公钥，它会被发送到 Apple 的服务器上。

另一个是 私钥，它只存储在你的设备上。

使用 Face ID 或 Touch ID 登录：当你尝试登录时，设备会使用 Face ID 或 Touch ID 来扫描你的面部或指纹。

设备会使用这些扫描结果来证明它是你本人，并且使用 私钥 对你的身份进行签名。

验证身份：设备将这个【签名信息】发送给 Apple 的服务器。

服务器用存储的 公钥 来验证签名是否正确。如果签名正确，说明是你本人在登录，服务器就允许你访问你的账户。  

- 为什么这样更安全？

首先，你都不用输入密码，也不能复制粘贴，省去了很多风险步骤；

黑客的钓鱼假网站是通常来讲是没有你上传的公钥的，只有真的才有。

其次即使黑客盗取了 公钥或者签名信息，他们依然无法用它来在其他设备登录你的账户。因为每次登录验证挑战都是唯一的。你必须重新在你的设备上签名。  

而且，因为 公钥 只能用来验证签名，而无法反向计算出 私钥。只有你的设备知道私钥，外人根本无法破解，钓鱼网站无法获取私钥。除非——黑客拿到你的设备并且强迫你刷脸。

这就是防钓鱼的根本。  

- 硬件钱包也支持 FIDO？

Passkey 就是基于 FIDO 技术的应用。FIDO 提供了无密码认证的协议，而 Passkey 则是这个协议在实际应用中的一种形式。  

OneKey Pro 和 Classic 1s 最新版本的固件，已支持 FIDO 2代协议 （Classic 支持 FIDO 一代）。  

现在，你也可以使用硬件钱包，作为 Web2 账户的通行密钥（作为多因素验证的一部分）——通过不联网的设备的离线私钥认证，来守护你的 Web2 账户。为你省下了购买 YubiKey 的钱。

更多关于硬件钱包 FIDO 的知识教程，请看《99% 的人不知道的硬件钱包用途：保护 Web2 账户》