實作通行金鑰

另請參閱 複雜金鑰簡介

本主題描述如何跨在線、企業和政府應用程式，以及付款實作複雜登入。 您可以實作複雜密鑰（而非密碼），以提供您的網站和應用程式，並提供使用者易記且密碼編譯安全的登入，這是公用 WebAuthn API 的所有提供。

世界各地的消費者服務提供者、企業和政府正從窗體驗證（如密碼和SMS OTP）移至密碼型登入。每個組織都有自己的不同使用案例和商務需求。

複雜金鑰的運作方式

密碼會使用標準公鑰密碼編譯技術。 當使用者向在線服務註冊時，使用者的用戶端裝置會建立系結至 Web 服務網域的新密碼編譯密鑰組。 裝置會保留私鑰，並使用在線服務註冊公鑰。 這些密碼編譯密鑰組稱為傳遞金鑰，是唯一且系結至在線服務網域。

驗證的運作方式是，使用者的裝置必須藉由提出登入完成的挑戰來證明擁有私鑰。 當使用者在裝置本機核准登入之後，就會透過生物特徵辨識技術（例如指紋）或本機 PIN 或 FIDO 安全性密鑰的觸控，快速且輕鬆地進入。 透過使用者裝置和在線服務的挑戰回應來完成登入。 服務不會看到或曾經儲存私鑰。

若要向線上服務註冊複雜金鑰：

• 系統會提示使用者建立複雜金鑰。
• 用戶會透過本機驗證方法驗證複雜密鑰建立（例如生物特徵辨識）。
• 用戶的裝置會建立本機裝置、在線服務和用戶帳戶唯一的新公開/私鑰組（複雜金鑰）。
• 公鑰（且 僅限 該公鑰）會傳送至在線服務，且與使用者帳戶相關聯。

若要使用複雜金鑰登入：

• 系統會提示使用者使用複雜金鑰登入。
• 使用者透過本機驗證方法驗證登入與傳遞密鑰（例如生物特徵辨識）。
• 裝置會使用使用者的帳戶標識碼（由服務提供）來選取正確的密鑰，並簽署服務的挑戰。
• 用戶端裝置會將已簽署的挑戰傳送回服務，該服務會使用儲存的公鑰來驗證它，並將使用者登入。

實作消費者、企業、政府或付款的通行密鑰

如果您考慮實作複雜密鑰，本節適合您。

如果您不熟悉 FIDO，建議您先檢閱 使用者驗證規格概觀。 然後，您可以在下載驗證規格存取 最新版的 FIDO 聯盟使用者驗證規格。

FIDO 認證展示會強調 FIDO 聯盟成員及其 FIDO 認證解決方案。 如果您想要部署 FIDO，這是絕佳的資源。

FIDO 企業部署工作組（EDWG）開發了一系列白皮書，為考慮複雜密鑰的領導者和從業者提供指引，從中小企業調整到大型企業。 若要瞭解關鍵決策點，請參閱 企業。

如果您的欄位是沿著公民服務或政府員工申請，請參閱 政府。

如需適合通行密鑰之付款案例的詳細資訊，請參閱 付款。

下一步

接下來，請參閱 複雜金鑰的設計指導方針。

其他資訊

• 傳遞金鑰簡介
• Windows 上無密碼驗證的 WebAuthn API
• Passkeys.dev
• 在 FIDO 聯盟網站上開始您的無密碼旅程