通行密鑰(Passkey)是一種可以替代密碼的更為安全的認證方式,阿里雲支援RAM使用者使用通行密鑰登入以及使用通行密鑰作為多因素認證(MFA)手段之一。藉助通行密鑰,您可以使用膝上型電腦、手機等裝置內建的指紋、人臉或數字 PIN 碼認證方式,完成登入或MFA驗證。
功能特點
安全性
通行密鑰採用FIDO2標準,FIDO2身分識別驗證使用標準公開金鑰加密技術來提供防網路釣魚身分識別驗證。在註冊線上服務期間,使用者的用戶端裝置會建立一個綁定到Web服務域的新加密金鑰對。裝置保留私密金鑰,並將公開金鑰註冊到線上服務。這些加密金鑰對稱為Passkey,每個線上服務都是唯一的。更多資訊,請參見FIDO規範官網。
使用通行密鑰不需要使用純文字密碼,避免了密碼儲存不當、共用密碼等造成的泄露風險。
保密性
使用者的生物識別技術資料如指紋、人臉等資訊,僅儲存在驗證裝置上,也就是使用者使用的膝上型電腦、手機和安全密鑰硬體裝置等,此類資訊不會被傳輸到阿里雲,阿里雲僅從驗證裝置擷取驗證結果。
便捷性
使用者使用裝置上內建的指紋、人臉等驗證方式,快速完成驗證,不需要尋找和輸入驗證碼等認證資訊。
基於通行密鑰原理的安全性,使用通行密鑰登入可以免去多因素認證。但仍然建議綁定其他多因素認證手段,在通行密鑰遺失或者更換的裝置沒有綁定通行密鑰時,您仍然需要使用密碼作為登入手段,綁定多因素裝置能夠有效地提升單一密碼的安全性。同時在控制台敏感操作時,多因素認證也可以在一定程度上防止意外的風險操作。
使用限制
一個RAM使用者最多可以綁定5個通行密鑰,並且建議您提前在各個常用裝置上綁定通行密鑰,避免換裝置後無法登入。
每個RAM使用者下的通行密鑰名稱必須唯一,避免重複名稱導致無法區分裝置。
所有阿里雲帳號預設允許RAM使用者綁定通行密鑰,並用於二次驗證。但是,使用通行密鑰登入阿里雲則需要Resource Access Management員在全域設定中開啟該功能才可以,具體操作,請參見步驟一:允許RAM使用者使用通行密鑰登入。
支援的裝置類型
瀏覽器版本
Google Chrome:108及以上版本。
Microsoft Edge:108及以上版本。
Safari:16.1及以上版本。
Firefox:122及以上版本。
電腦裝置
Windows 10、Windows 11作業系統,支援將通行密鑰儲存在本地,通過Windows Hello進行驗證。
macOS作業系統Ventura 13以上版本,支援將通行密鑰儲存在iCloud鑰匙串,可進行多裝置間同步,需確保各裝置均符合系統版本要求。
可將通行密鑰儲存在符合以上版本要求的瀏覽器中,支援通過Google Chrome、Microsoft Edge瀏覽器進行多裝置間同步。
行動裝置
iOS 14.5以上支援將通行密鑰儲存在移動端本地,iOS 16以上支援將通行密鑰儲存在iCloud鑰匙串,可多裝置間同步。
iOS 14.5以上支援將通行密鑰儲存在符合以上版本要求的移動端瀏覽器中。
由於行動裝置廠商對Android系統進行不同程度的定製開發,定製開發後的Android系統的手機普遍不支援通行密鑰,建議嘗試使用Google Chrome瀏覽器儲存。
使用電腦裝置喚起通行密鑰綁定,再通過行動裝置掃碼將通行密鑰儲存在行動裝置時,iOS 14.5以上支援儲存在本地,iOS其他版本或Android系統的行動裝置同樣建議使用Google Chrome瀏覽器儲存。
其他裝置
支援符合FIDO2規範的安全密鑰(Security Key),這些裝置可通過USB、藍芽或NFC串連到您的裝置。原U2F裝置已支援升級到安全密鑰。