通行密钥(Passkey)是一种可以替代密码的更为安全的认证方式,阿里云支持RAM用户使用通行密钥登录以及使用通行密钥作为多因素认证(MFA)手段之一。借助通行密钥,您可以使用笔记本电脑、手机等设备自带的指纹、人脸或PIN码认证方式,完成登录或MFA验证。
功能特点
安全性
通行密钥采用FIDO2标准,FIDO2身份验证使用标准公钥加密技术来提供防网络钓鱼身份验证。在注册在线服务期间,用户的客户端设备会创建一个绑定到Web服务域的新加密密钥对。设备保留私钥,并将公钥注册到在线服务。这些加密密钥对称为Passkey,每个在线服务都是唯一的。更多信息,请参见FIDO规范官网。
使用通行密钥不需要使用明文密码,避免了密码保存不当、共享密码等造成的泄露风险。
保密性
用户的生物识别数据如指纹、人脸等信息,仅保存在验证设备上,也就是用户使用的笔记本电脑、手机和安全密钥硬件设备等,此类信息不会被传输到阿里云,阿里云仅从验证设备获取验证结果。
便捷性
用户使用设备上自带的指纹、人脸等验证方式,快速完成验证,不需要查找和输入验证码等认证信息。
基于通行密钥原理的安全性,使用通行密钥登录可以免去多因素认证。但仍然建议绑定其他多因素认证手段,在通行密钥遗失或者更换的设备没有绑定通行密钥时,您仍然需要使用密码作为登录手段,绑定多因素设备能够有效地提升单一密码的安全性。同时在控制台敏感操作时,多因素认证也可以在一定程度上防止意外的风险操作。
使用限制
一个RAM用户最多可以绑定5个通行密钥,并且建议您提前在各个常用设备上绑定通行密钥,避免换设备后无法登录。
每个RAM用户下的通行密钥名称必须唯一,避免重复名称导致无法区分设备。
所有阿里云账号默认允许RAM用户绑定通行密钥,并用于二次验证。但是,使用通行密钥登录阿里云则需要RAM管理员在全局设置中开启该功能才可以,具体操作,请参见步骤一:允许RAM用户使用通行密钥登录。
支持的设备类型
浏览器版本
Google Chrome:108及以上版本。
Microsoft Edge:108及以上版本。
Safari:16.1及以上版本。
Firefox:122及以上版本。
电脑设备
Windows 10、Windows 11操作系统,支持将通行密钥保存在本地,通过Windows Hello进行验证。
macOS操作系统Ventura 13以上版本,支持将通行密钥保存在iCloud钥匙串,可进行多设备间同步,需确保各设备均符合系统版本要求。
可将通行密钥保存在符合以上版本要求的浏览器中,支持通过Google Chrome、Microsoft Edge浏览器进行多设备间同步。
移动设备
iOS 14.5以上支持将通行密钥保存在移动端本地,iOS 16以上支持将通行密钥保存在iCloud钥匙串,可多设备间同步。
iOS 14.5以上支持将通行密钥保存在符合以上版本要求的移动端浏览器中。
由于移动设备厂商对Android系统进行不同程度的定制开发,定制开发后的Android系统的手机普遍不支持通行密钥,建议尝试使用Google Chrome浏览器保存。
使用电脑设备唤起通行密钥绑定,再通过移动设备扫码将通行密钥保存在移动设备时,iOS 14.5以上支持保存在本地,iOS其他版本或Android系统的移动设备同样建议使用Google Chrome浏览器保存。
其他设备
支持符合FIDO2规范的安全密钥(Security Key),这些设备可通过USB、蓝牙或NFC连接到您的设备。原U2F设备已支持升级到安全密钥。