都什么年代了，还在用传统密码？10 月 12 日，谷歌宣布在 Android 和 Chrome 中正式推行密钥登录 “PassKey”，以逐步替代长期使用的密码登录 “PassWord”。

推出的密钥登录可以认为是 “生物密码” 和 “授权登录” 的结合。用户可以在 Android 手机上创建一个基于公钥加密的密钥凭据，创建密钥的时候需要对本人进行生物特征识别，比如 “指纹” 或者 “面部识别” 等。

创建完毕后，这个密钥凭据可用于解锁所有在线帐户 —— 既可以解锁 Android 手机上的帐户，也可以解锁附近所有设备的帐户。是的，这个 FIDO 密匙登录功能由微软 / 苹果 / 谷歌联合出品，属于行业标准。因此它是跨平台的，包括 Windows、macOS 和 iOS 以及 ChromeOS。换而言之，你可以用 Android 手机的密钥凭据解锁上述所有系统的帐户和网站。

在谷歌的眼中，密码登录这种老旧的身份验证方法很容易被钓鱼或者盗号等方法影响，安全性不高。而密钥登录则大为不同，它不能重复使用，也不会泄露服务器漏洞，还能保护用户免受网络钓鱼的攻击以及忘记密码的困扰，即使丢失了手机， FIDO 密钥也可以从云备份安全地同步到新手机。

不过，现在这个密钥登录功能还不完善，只是一个重要的里程碑，实现了两个关键功能：

1. 用户可以在 Android 设备上创建和使用密钥，密钥通过 Google 密码管理器进行同步。
2. 开发人员可以通过 WebAuthn API、Android 和其他支持的平台，使用 Chrome 在网站上为用户构建密钥支持。

如果要在网站上添加密钥登录功能，开发者需要注册 Google Play Services 测试版 ，并使用 Chrome Canary 版本。

密钥登录功能的下一个里程碑是原生的 Android 应用 API，原生 API 将为应用程序提供多种登录方式，用户可以选择密钥登录，或是使用已保存的密码登录。

相关链接：https://android-developers.googleblog.com/2022/10/bringing-passkeys-to-android-and-chrome.html

来源：OSC开源社区