Windows 中对密钥的支持

• 适用于:

  ✅ Windows 11, ✅ Windows 10

与密码相比，密钥提供了一种更安全、更方便的登录网站和应用程序的方法。 与用户必须记住和键入的密码不同，密码作为机密存储在设备上，可以使用设备的解锁机制 (生物识别或 PIN) 。 无需进行其他登录质询即可使用密钥，从而使身份验证过程更快、更安全、更方便。

可以将密钥与支持它们的任何应用程序或网站一起使用，以便使用 Windows Hello 创建和登录。 创建密钥并将其与Windows Hello一起存储后，可以使用设备的生物识别或 PIN 登录。 或者，可以使用手机或平板电脑) (配套设备登录。

注意

从 Windows 11 版本 22H2 和 KB5030310 开始，Windows 提供密钥管理的本机体验。 但是，可以在所有受支持的 Windows 客户端版本中使用密钥。

本文介绍如何在 Windows 设备上创建和使用密钥。

密钥的工作原理

Microsoft 长期以来一直是 FIDO 联盟的创始成员，并帮助在平台验证器（如 Windows Hello）中本机定义和使用密钥。 密钥使用 FIDO 行业安全标准，所有主要平台都采用该标准。 领先的技术公司（如 Microsoft）正在支持作为 FIDO 联盟的一部分的密钥，许多网站和应用正在集成对密钥的支持。

FIDO 协议依赖于标准公钥/私钥加密技术来提供更安全的身份验证。 当用户向联机服务注册时，其客户端设备将生成新的密钥对。 私钥安全地存储在用户的设备上，而公钥则注册到服务。 若要进行身份验证，客户端设备必须通过对质询进行签名来证明其拥有私钥。 只有在用户使用Windows Hello解锁因子 (生物识别或 PIN) 解锁私钥后，才能使用私钥。

FIDO 协议优先考虑用户隐私，因为它们旨在防止联机服务跨不同服务共享信息或跟踪用户。 此外，身份验证过程中使用的任何生物识别信息都保留在用户的设备上，不会通过网络或服务传输。

密码与密码的比较

与密码相较，密码具有多种优势，包括其易用性和直观性。 与密码不同，密钥易于创建，无需记住，也不需要受到保护。 此外，每个网站或应用程序都唯一的密钥，从而阻止其重用。 它们高度安全，因为它们仅存储在用户的设备上，服务仅存储公钥。 密钥旨在防止攻击者猜测或获取密钥，这有助于他们抵御攻击者可能试图欺骗用户泄露私钥的钓鱼尝试。 浏览器或操作系统强制使用密钥，使其仅用于适当的服务，而不依赖于人工验证。 最后，密钥提供跨设备和跨平台身份验证，这意味着一台设备的密钥可用于在另一台设备上登录。

Windows 版本和许可要求

下表列出了支持密钥的 Windows 版本：

Windows 专业版	Windows 企业版	Windows 专业教育版/SE	Windows 教育版
是	是	是	是

Passkeys 许可证权利由以下许可证授予：

Windows 专业版/专业教育版/SE	Windows 企业版 E3	Windows 企业版 E5	Windows 教育版 A3	Windows 教育版 A5
是	是	是	是	是

有关 Windows 许可的详细信息，请参阅 Windows 许可概述。

用户体验

创建密钥

默认情况下，Windows 提供在 Windows 设备上本地保存密钥，在这种情况下，该密钥受Windows Hello (生物识别和 PIN) 保护。 还可以选择将密钥保存在以下位置之一：

• iPhone、iPad 或 Android 设备：密钥保存在手机或平板电脑上，并受设备生物识别保护（如果设备提供）。 此选项要求你使用手机或平板电脑扫描 QR 码，必须靠近 Windows 设备
• 链接设备：密钥保存在手机或平板电脑上，如果设备提供，则由设备生物识别保护。 此选项要求链接的设备靠近 Windows 设备，并且仅支持 Android 设备
• 安全密钥：将密钥保存到 FIDO2 安全密钥，该密钥的解锁机制 (例如生物识别或 PIN)

选择以下选项之一，了解如何根据存储密钥的位置保存密钥。

Windows 设备

1. 打开支持密钥的网站或应用

2. 从帐户设置创建密钥

3. 选择“使用其他设备>下一步”选项

4. 选择“此 Windows 设备>下一步”

5. 选择Windows Hello验证方法并继续验证，然后选择“确定”

6. 该密钥将保存到 Windows 设备。 若要确认，请选择 “确定”

新手机或平板电脑

1. 打开支持密钥的网站或应用

2. 从帐户设置创建密钥

3. 选择“使用其他设备>下一步”选项

4. 选择 iPhone、iPad 或 Android 设备>“下一步”

5. 使用手机或平板电脑扫描 QR 码。 等待与设备建立连接，并按照说明保存密钥

6. 将密钥保存到手机或平板电脑后，选择“ 确定”

链接的手机或平板电脑

1. 打开支持密钥的网站或应用

2. 从帐户设置创建密钥

3. 选择“使用其他设备>下一步”选项

4. (选择链接的设备名称，例如 Pixel) >Next

5. 建立与链接设备的连接后，请按照设备上的说明保存密钥

6. 将密钥保存到链接的设备后，选择“ 确定”

安全密钥

1. 打开支持密钥的网站或应用

2. 从帐户设置创建密钥

3. 选择“使用其他设备>下一步”选项

4. 选择“安全密钥>下一步”

5. 选择“ 确定” 以确认要设置安全密钥，并使用密钥的解锁机制解锁安全密钥

6. 将密钥保存到安全密钥后，选择“ 确定”

使用密钥

打开支持密钥的网站或应用时，如果密钥存储在本地，系统会自动提示你使用Windows Hello登录。 还可以选择从以下位置之一使用密钥：

• iPhone、iPad 或 Android 设备：如果要使用存储在手机或平板电脑上的密钥登录，请使用此选项。 此选项要求你使用手机或平板电脑扫描 QR 码，必须靠近 Windows 设备
• 链接设备：如果要使用存储在靠近 Windows 设备的设备上的密钥登录，请使用此选项。 此选项仅支持 Android 设备
• 安全密钥：如果要使用 FIDO2 安全密钥上存储的密钥登录，请使用此选项

根据保存密钥的位置，选择以下选项之一来了解如何使用密钥。

Windows 设备

1. 打开支持密钥的网站或应用

2. 选择“ 使用密钥登录”或类似选项

3. 选择“使用其他设备>下一步”选项

4. 选择“此 Windows 设备>下一步”

5. 选择Windows Hello解锁选项

6. 选择 “确定” 以继续登录

手机或平板电脑

1. 打开支持密钥的网站或应用

2. 选择“ 使用密钥登录”或类似选项

3. 选择“使用其他设备>下一步”选项

4. 选择 iPhone、iPad 或 Android 设备>“下一步”

5. 使用保存密钥的手机或平板电脑扫描 QR 码。 建立与设备的连接后，请按照说明使用密钥

6. 你已登录到网站或应用

链接的手机或平板电脑

1. 打开支持密钥的网站或应用

2. 选择“ 使用密钥登录”或类似选项

3. 选择“使用其他设备>下一步”选项

4. (选择链接的设备名称，例如 Pixel) >Next

5. 建立与链接设备的连接后，请按照设备上的说明使用密钥

6. 你已登录到网站或应用

安全密钥

1. 打开支持密钥的网站或应用

2. 选择“ 使用密钥登录”或类似选项

3. 选择“使用其他设备>下一步”选项

4. 选择“安全密钥>下一步”

5. 使用密钥的解锁机制解锁安全密钥

6. 你已登录到网站或应用

管理密钥

从 Windows 11 版本 22H2 和 KB5030310 开始，可以使用“设置”应用查看和管理为应用或网站保存的密钥。 转到“设置帐户>密钥”>，或使用以下快捷方式：

管理密钥

• 将显示已保存的密钥列表，可以按名称筛选它们
• 若要删除密钥，请选择“ ...” > 删除密钥 名称旁边的 passkey

注意

无法删除 login.microsoft.com 的某些密钥，因为它们与 Microsoft Entra ID 和/或 Microsoft 帐户一起使用以登录到设备和 Microsoft 服务。

提供反馈

若要为密钥提供反馈，请打开 “反馈中心 ”，并使用“ 安全和隐私 > 密钥”类别。