对于消费者而言，硬件绑定通行密钥和同步通行密钥之间有什么区别？

硬件绑定通行密钥将私钥保存在物理安全元件（如安全密钥、FIDO2 智能卡或内置的 TPM 芯片）中，密钥绝不会离开该硬件。而同步通行密钥保存在 iCloud Keychain、Google Password Manager 或第三方管理器中，它们可以通过云跨设备复制。因为私钥无法导出，硬件绑定通行密钥达到了 NIST AAL3 级别。同步通行密钥最多只能达到 AAL2，因为云同步路径使密钥变得可恢复。这一级别的安全保证差异对银行、政府和医疗保健等领域的监管机构非常重要。

哪些用例能够证明硬件绑定通行密钥对消费者是合理的？

主要有三个类别可以为消费者提供足够的动力。首先是银行和支付行业，PSD2、PSD3、印度的 RBI 和澳大利亚的 APRA CPS 234 均要求强客户认证。第二类是加密和自我托管，遗失密钥等同于遗失资金。第三类是高价值账户（如主电子邮件、政府身份钱包和创作者账户），这些账户如果被接管将产生不可逆转的影响。在这三个类别之外，通常是同步通行密钥在便利性上胜出。

要真正赢得消费者硬件绑定通行密钥市场需要什么？

良好的硬件是必须的，但这远远不够。获胜者需要将可信的硬件形态与智能平台相结合，能够量化注册和认证中的每一步，绕过出现故障的设备与操作系统组合，并向发卡机构证明欺诈和支持成本正在下降。这场竞争最终将由数据和软件来决定，而不是谁的硬件拥有最坚固的外壳。

硬件绑定通行密钥：真正的竞争在于普及

Q: 尽管通行密钥正在普及，为什么硬件安全密钥仍未在消费者中成为主流？

Apple 和 Google 控制了超过 99% 消费者使用的操作系统和浏览器。两者都在 WebAuthn 提示中优先考虑他们自家的同步凭据管理器。在每个默认流程中，硬件认证器都被隐藏得更深，需要多点击一到三次。在 Android 设备上，NFC 行为在不同手机制造商中呈现碎片化，且 Conditional UI 默认倾向同步凭据。最重要的是，除非服务强制要求，多数消费者不会为额外的认证器支付 40 到 80 美元。

关键事实

硬件绑定通行密钥达到 NIST AAL3 级别。同步通行密钥最高为 AAL2，因为云同步使密钥可被导出。
根据 StatCounter 的数据，iOS 和 Android 占据了超过 99% 的移动市场份额。两者都将硬件身份验证器隐藏在同步凭据之下的 1 到 3 次点击处。
自 2008 年以来，Yubico 已出货超过 3000 万个 YubiKey。CompoSecure 每年出货超过 1 亿张金属卡。IDEMIA 每年生产超过 30 亿个安全元件。
根据《2024 年 FIDO Alliance 身份验证晴雨表》，在消费者银行业务中，硬件绑定通行密钥的激活率在推出数月后仍低于 5%。
Ledger 已出货超过 700 万个钱包，Trezor 超过 200 万个。加密货币自我托管是唯一一个用户主动购买硬件的消费者类别。
这场竞争不会被拥有最强硬件的一方赢得。它将属于将硬件与普及工程及通行密钥可观测性相结合的参与者。

1. 引言：谁将赢得消费者争夺战？#

硬件绑定通行密钥是最安全的登录方式，但在消费者应用中几乎无人使用。安全密钥制造商和智能卡制造商多年来一直在推广这种产品形态。即便如此，2024 年 FIDO Alliance 身份验证晴雨表显示，到 2025 年，消费者银行业务中的硬件绑定通行密钥激活率仍然低于 5%。

身份验证分析白皮书. 面向 passkey 项目的实用指南、推广模式和 KPI。

获取白皮书

原因很简单。根据 StatCounter 的数据，Apple 和 Google 控制着超过 99% 的移动市场份额，他们决定了用户首先看到哪种通行密钥类型。因此，这场消费者争夺战不会被拥有最强密钥的公司赢得。它将属于将硬件与软件、数据和分发渠道相结合的公司。

1.1 术语：硬件绑定通行密钥 vs. 同步通行密钥#

硬件绑定通行密钥是 FIDO2 凭据，其私钥被锁定在物理安全元件内。密钥永远不会离开设备。同步通行密钥使用相同的 FIDO2 加密技术，但通过 iCloud Keychain、Google Password Manager 或第三方管理器在您的设备之间复制密钥。W3C WebAuthn Level 3 规范将两者视为具有不同存储策略的同一种凭据类型。业界也将硬件绑定通行密钥称为“设备绑定通行密钥”或“硬件绑定 WebAuthn 凭据”。本文将这三者作为同义词使用。

一个常见的误解是，任何由手机或笔记本电脑上的安全元件支持的通行密钥都是硬件绑定的。在实际应用中，Apple Secure Enclave 和 Android StrongBox 托管的通行密钥默认通过 iCloud Keychain 或 Google Password Manager 同步，因此私钥可以从云端恢复。目前，唯一仍然严格将会话密钥保存在本地的消费者安全元件是 Windows Hello TPM，甚至微软也正朝着在 Edge 中进行同步的方向发展。因为 Windows Hello 不需要购买额外的硬件并且内置在笔记本电脑中，本文将其排除在硬件绑定消费者竞争之外，而是重点关注专用的安全密钥、FIDO2 智能卡和加密钱包。

这一个微小的差别——密钥是否可以离开硬件——驱动了几乎所有的下游属性，从 NIST 保证级别到恢复流程。NIST SP 800-63B 将硬件绑定通行密钥置于 AAL3（最高级别），而同步通行密钥最高仅为 AAL2。这一个级别的差距对要求持有因素绑定的监管机构至关重要，包括 PSD2、PSD3、NYDFS 第 500 部分、RBI 2024 和 APRA CPS 234。

1.2 为什么同步通行密钥赢得了默认位置#

同步通行密钥占据了默认位置，因为 Apple 和 Google 率先推出了它们并控制了提示框。Apple 于 2021 年增加了 iCloud Keychain 通行密钥支持，Google 密码管理器紧随其后于 2022 年推出，并且两者都使用 WebAuthn Conditional UI 在自动填充栏中直接显示同步凭据。在每个默认流程中，硬件身份验证器都隐藏在更深的一到三次点击之处。

2024 年 FIDO Alliance 线上身份验证晴雨表报告称，全球 64% 的消费者已经注意到通行密钥，53% 的消费者已在至少一个帐户上启用了通行密钥。这些注册几乎全部是同步的。

1.3 消费者争夺战真正在哪里展开#

在本文中，“消费者”指的是 CIAM。我们谈论的是外部客户登录银行、加密货币交易所、政府钱包或创作者平台。我们不是在谈论劳动力登录，在这些场景中，硬件绑定通行密钥已经占据主导地位。有趣的问题是，接下来会开放哪些消费者旅程，以及哪家公司会率先到达那里。

这场竞争涵盖了消费者必须实际获取的两种外形规格以及三种分发路径。

外形规格：USB 或 NFC 安全密钥以及内置于支付卡中的 FIDO2 智能卡。加密硬件钱包作为第三个利基类别与两者并列。
分发路径：直接向消费者销售、由银行或政府运送给其用户的设备，以及由自我托管用户购买的加密钱包。

1.4 本文论点#

优秀的硬件是必要的，但已不再足够。拥有最强芯片的供应商不会自动赢得消费者的普及。真正的瓶颈位于芯片之上：浏览器提示框、不同 Android 手机上的 NFC 协议栈、设备丢失后的恢复设计以及消费者分发渠道。赢家将是那些将硬件与普及工程及通行密钥可观测性相结合的公司。

本文的其余部分将探讨历史背景、参与者、障碍、现实世界的用例，并为任何希望突破企业市场进入消费者市场的公司提供实用的策略。

2. 硬件身份验证器是如何发展到今天的？#

硬件绑定凭据并不是什么新事物。它们比 FIDO 早了大约 30 年。PKI 智能卡在 20 世纪 90 年代进入政府部门，由 NIST FIPS 201 PIV 标准编纂成文。RSA SecurID 令牌随后应用于企业 VPN。EMV 芯片密码卡于 2002 年进入支付领域。EMVCo 报告称，今天流通中的 EMV 卡超过 120 亿张，这使得支付卡上的芯片成为历史上部署规模最大的硬件加密平台。

由 IDEMIA、Thales 和 Infineon 运营的同一安全元件供应链，以每年超过 30 亿个芯片的速度，现在生产着 FIDO2 智能卡内部的硅片。将硬件身份验证器引入 FIDO2 的三次行业变革，在 2014 年至 2018 年短短四年间发生。

2.1 从 U2F 到 FIDO2 (2014 年至 2018 年)#

FIDO Alliance 于 2014 年推出了 FIDO U2F，几家安全密钥供应商出货了第一批硬件令牌。据 Krebs on Security 报道，到 2017 年，Google 向超过 89,000 名员工分发了 U2F 密钥，并在随后的一年中报告了与网络钓鱼相关的帐户接管事件为零。但 U2F 只是第二因素。用户仍然有一个密码，硬件轻触只是最上面的一步额外操作。其形式依然偏向企业级：适用于 Google 员工、政府机构和少数加密货币交易所的小型 USB 密钥。

FIDO2 和 WebAuthn 在 2018 年改变了这一状况，将 U2F 转变为一个完全无密码的框架。过去用于支持第二因素的相同安全元件，现在可以支持主登录凭据。

2.2 通行密钥品牌转型 (2022 年)#

2022 年 5 月，Apple、Google、Microsoft 和 FIDO Alliance 在 FIDO Alliance Authenticate 大会上联合发布了“通行密钥”品牌。其理念是创造一个单一、简单的词汇，让消费者能够同时理解同步和设备绑定的 FIDO2 凭据。

根据 Apple 的开发者发布说明，Apple 在 2022 年 9 月的 iOS 16 中推出了 iCloud Keychain 通行密钥同步。根据其身份博客，Google 紧随其后于 2022 年 10 月在 Android 9 及以上版本中推出。

Microsoft 是三者中步伐最慢的。根据 Windows Hello 文档，Windows Hello 自 2015 年起就提供了基于 TPM、设备绑定的凭据，但消费者帐户多年来一直无法跨设备同步通行密钥。Microsoft 直到 2024 年 5 月才为消费者 Microsoft 帐户添加了通行密钥支持，而 Microsoft Edge Password Manager 中的同步通行密钥则在更晚的 2025 年才到来。因此，虽然 Apple 和 Google 在同步消费者通行密钥方面有两到三年的领先优势，但 Microsoft 仍在努力赶上其自身浏览器内的跨设备同步。

硬件供应商曾期望这四个主要参与者的大规模品牌重塑能提升对安全密钥和智能卡的需求。但这并未发生。根据 FIDO Alliance 晴雨表的数据，同步通行密钥吸收了几乎所有新的消费者注册。

2.3 分裂为两条轨道#

在 18 个月内，生态系统分裂成了两条清晰的轨道。消费者轨道由同步通行密钥主导，Apple 和 Google 围绕自己的管理器构建了默认流程。企业轨道由硬件绑定通行密钥主导，IT 部门购买安全密钥或 FIDO2 智能卡用于劳动力身份验证。FIDO Alliance 评估该企业市场每年的硬件身份验证器支出超过 10 亿美元。

硬件供应商从未放弃消费者市场。真正的问题是他们是否仍有一条可信的路径，或者操作系统层是否已经将他们彻底拒之门外。

3. 谁在参与消费者争夺战？#

两种外形规格在竞争生存空间。安全密钥在直接向爱好者和企业销售方面领先。智能卡通过银行拥有最大的分销渠道：根据 EMVCo 统计数据，每年发行的 EMV 卡超过 15 亿张。

参与竞争的供应商分为两个阵营。安全密钥制造商直接向最终用户和企业销售 USB 或 NFC 密钥。智能卡和安全元件制造商构建银行发行的芯片和卡片。每个阵营都面临着不同的单位成本问题，而且都没有依靠自身解决消费者分发缺口。

3.1 谁在领导安全密钥形态？#

几家安全密钥制造商在该细分市场展开竞争。现代安全密钥通常支持通过 USB-A、USB-C、NFC 和 Lightning 的 FIDO2、FIDO U2F、智能卡 PIV、OpenPGP 和 OTP，有些还在顶部增加了设备上的指纹传感器。下表概述了在消费者和企业市场中最相关的供应商。

供应商	总部	主要产品	连接器	主要特色
Yubico	瑞典 / 美国	YubiKey 5, YubiKey Bio, Security Key	USB-A, USB-C, NFC, Lightning	最大的直接面向消费者品牌，广泛的协议支持
Feitian	中国	ePass, BioPass, MultiPass	USB-A, USB-C, NFC, BLE	全球销量最大的竞争对手，Google Titan 的 OEM
Token2	瑞士	T2F2, Bio3	USB-A, USB-C, NFC	价格亲民，提供 PIN+ 和生物识别变体
Google	美国	Titan Security Key	USB-C, NFC	Google 高级保护的锚点，由飞天制造
OneSpan	美国	DIGIPASS FX1 BIO	USB-A, USB-C, NFC, BLE	专注于银行业务，可选的指纹传感器
Identiv	美国	uTrust FIDO2	USB-A, USB-C, NFC	具有企业和政府智能卡的传承
Kensington	美国	VeriMark Guard	USB-A, USB-C	生物识别指纹读取器，主流零售分发渠道

根据制造商的定价页面，单个设备的成本在 40 到 80 美元之间，这在企业环境中是可以承受的，但在消费者规模下会扼杀普及率。伴随该价格标签而来的 NFC、恢复和分发问题将在第 4 节详细介绍。

3.2 谁在领导智能卡形态？#

智能卡制造商在银行发行的 FIDO2 细分市场竞争。供应商格局分为卡片制造商和芯片供应商。像 CompoSecure（提供其 Arculus FIDO2 产品）、IDEMIA、NagraID、Feitian 和 TrustSEC 这样的卡片制造商自行生产 FIDO2 卡。芯片供应商，即三大安全元件巨头 IDEMIA、Thales 和 Infineon，负责制造大多数卡片内部的安全元件。IDEX Biometrics 提供卡上指纹传感器，将智能卡转变为生物识别智能卡。

分发给发行方的问题已经通过现有的支付卡供应链得到解决。挑战在于说服发行方消化单位成本溢价，并确保 NFC 轻触在跨设备时能可靠工作。

FIDO2 智能卡在 5 到 15 美元的金属卡或生物识别卡基本成本之上增加了 2 到 5 美元。根据 Juniper Research 2024 的数据，到 2027 年，全球生物识别支付卡的出货量将超过 1.4 亿张。

3.3 混合和相关领域的情况如何？#

还有一些其他产品竞争同一个用例，但并未完全归属于任何一种形态。Ledger 已出货超过 700 万个 Nano 钱包，Trezor 超过 200 万个。两者都将 FIDO2 作为加密存储之上的辅助功能提供。像 Apple Secure Enclave 和 Android StrongBox 这样的手机安全元件在技术上通过硬件保护私钥，但 Apple 和 Google 默认通过 iCloud Keychain 和 Google Password Manager 同步通行密钥，因此用户可见的行为是同步通行密钥，而不是硬件绑定的通行密钥。根据公开声明，像 Token Ring 和 Mojo Vision 戒指这样的可穿戴身份验证器出货量一直低于 100,000 件。

换句话说，消费者争夺战实际上是安全密钥和智能卡之间的两路竞争，加密钱包作为第三个垂直领域，而可穿戴设备则是一个不到 1% 的注脚。

在实时 demo 中试用 passkeys。

试用 passkeys

4. 是什么阻碍了消费者普及？#

四大结构性逆风阻碍了硬件绑定通行密钥在消费者市场中的普及：操作系统和浏览器的提示层级结构、Android 上的 NFC 碎片化、设备丢失后的困难恢复以及直接面向消费者的成本。这些问题都无法由单一硬件供应商解决。

4.1 操作系统和浏览器层级结构#

Apple 的 AuthenticationServices 默认使用 iCloud Keychain。即使依赖方将 authenticatorAttachment 设置为 cross-platform，用户仍然必须先关闭平台工作表。Google 的 Credential Manager 在 Android 上与 Google Password Manager 也采取同样的做法。根据 StatCounter 的数据，Safari 和 Chrome 加起来占据了约 84% 的移动浏览器份额，因此这两家供应商实际上决定了整个消费者网络的提示用户体验。

浏览器在硬件密钥用户体验上的投资也不足，因为根据总体的安全密钥出货数据与 StatCounter 上全球移动市场份额的对比，超过 99% 的消费者并不拥有专用的安全密钥。这就形成了一个反馈循环。糟糕的用户体验导致低普及率。低普及率意味着没有投资。没有投资导致糟糕的用户体验。

4.2 Android 上的 NFC 碎片化#

Android 上的 NFC 行为在各个制造商之间差异很大。Samsung、Xiaomi、Oppo 和 Google Pixel 都在 Android 开源项目之上搭载了不同的 NFC 协议栈。根据 Android 问题跟踪器的记录，部分 Android 14 构建版本甚至在 2024 年中有好几个月破坏了第三方通行密钥提供商的支持。一张在 Pixel 8 上轻触正常的 FIDO2 智能卡，可能在 Galaxy S23 Ultra 上失败，并在 Xiaomi 14 上表现得又截然不同。而 Google Android 兼容性计划没有一个集中的测试项目能够在这些倒退到达消费者之前捕获它们。

4.3 恢复与丢失#

当用户在新设备上登录时，同步通行密钥会自动恢复。硬件凭据则不会。丢失了安全密钥或损坏了智能卡的用户必须经过帐户恢复或通常不太安全的方法。Verizon 2024 年数据泄露调查报告发现，68% 的漏洞涉及非恶意的认为因素，包括滥用凭据恢复。NIST SP 800-63B 也明确警告帐户恢复是身份验证泄露的常见途径。因此，硬件绑定的强度仅取决于恢复渠道的强度，这意味着依赖方承担着与芯片供应商同样多的安全重任。

4.4 分发与成本#

消费级安全密钥在制造商定价页面的零售价为 40 到 80 美元。一个不认为其帐户存在风险的消费者根本不会买单。能够吸收成本的银行和加密货币交易所可以免费赠送设备，但随之而来的是他们要承担支持负担。与信用卡捆绑的智能卡在每张卡 5 到 15 美元的基本成本之上增加了 2 到 5 美元，这是根据公开的智能卡供应商披露得出的，包括 CompoSecure 投资者资料。

这四大逆风解释了为什么即使提供了硬件选项，根据 FIDO Alliance 晴雨表的数据，同步通行密钥依然占金融服务领域消费者注册量的 95% 以上。

Igor Gjorgjioski

Head of Digital Channels & Platform Enablement, VicRoads

We hit 80% mobile passkey activation across 5M+ users without replacing our IDP.

See how VicRoads scaled passkeys to 5M+ users — alongside their existing IDP.

Read the case study

5. 硬件绑定通行密钥真正胜出在哪些场景？#

三个消费者类别给了人们携带专用硬件的真正理由：银行业务和支付、加密货币自我托管以及高价值帐户。每一个都结合了强大的驱动力、可信的分发途径以及严重到足以抵消阻力的后果。在这三个领域之外，同步通行密钥通常凭借便利性取胜。

5.1 银行业务和支付#

银行是最自然的分发渠道。他们已经在向客户发送物理卡。他们还在 PSD2、PSD3、EBA 强客户身份验证意见、RBI 2FA、NYDFS 第 500 部分和 APRA CPS 234 等监管下运营。其中许多规则要求同步通行密钥无法明确满足的基于密码学的持有因素绑定。

“智能卡即信用卡”的理念行得通，因为卡片已经存在。根据 CompoSecure 10-K 报告，银行发行一张金属卡的成本为 5 到 15 美元。根据 Juniper Research 生物识别卡的成本分析，添加 FIDO2 将使成本提高到 7 到 20 美元。那张卡接着就能处理芯片密码、NFC 轻触支付、ATM 取款、网上银行登录以及高价值的 3DS 交易确认。消费者永远不会被问及“你想要一个硬件身份验证器吗？”卡片直接在邮件中送达。

5.2 加密货币和自我托管#

加密货币用户已经接受携带硬件的想法。Ledger 出货量超过 700 万台 Nano 设备，并在其公司主页上报告了累计硬件收入超过 40 亿美元。Trezor 已出货超过 200 万台设备。安全密钥在加密货币交易所的 MFA 中也占据了长期地位，Coinbase、Kraken 和 Binance 都支持 FIDO2 密钥。

在硬件钱包中添加 FIDO2 是渐进的工程工作。一个保护价值 5 万美元投资组合的 100 美元设备显然值得随身携带。加密货币仍然是唯一一个用户自发购买硬件的消费者类别。

5.3 高价值消费者帐户#

一小群消费者保护那些一旦被接管就无法挽回的帐户。典型的例子是主力邮箱、政府身份钱包、YouTube 或 Twitch 上的创作者帐户以及记者凭据。Google 的高级保护计划将这一群体描述为“高风险用户，如记者、人权工作者和政治竞选人员”。

OpenAI 在 2026 年 4 月紧随其后推出了针对 ChatGPT 的高级帐户安全计划，与 Yubico 合作推出了约 68 美元的联名 YubiKey C NFC 和 YubiKey C Nano 两件套装。该计划完全禁用了密码及电子邮件或短信登录，并要求通行密钥或物理安全密钥，目标人群为记者、民选官员、持不同政见者和其他高风险 ChatGPT 用户。现在判断有多少用户愿意花 68 美元购买这层额外保护还为时过早，但这是迄今为止最清晰的测试，以验证高价值消费者帐户是否能在加密货币和银行业务之外推动自愿的硬件普及。

Cisco 的 2024 年网络安全准备度指数也发现只有 3% 的组织具备成熟的安全态势。GAO 2024 年网络安全报告将帐户接管标记为联邦网络安全的五大风险之一，这将需要此类保护的消费者群体扩展到了最初的记者利基市场之外。

银行 Passkeys 报告. 面向 passkey 项目的实用指南、推广模式和 KPI。

获取报告

6. 为什么仅靠硬件无法取胜#

拥有最好的硬件并不能保证消费者的市场份额。硬件供应商与端到端消费者产品之间存在五个差距：分发、引导入职、恢复、跨设备旅程以及测量。每个差距都需要在芯片设计之外的技能。

分发：硬件公司与消费者之间没有真正的直接联系。理论上任何人都可以从 yubico.com 订购一个 YubiKey，但实际上买家多为安全专业人士、IT 管理员和一小部分发烧友。这种渠道无法扩展到主流消费者，他们从未听说过这个品牌，也不会主动去搜索一个 50 美元的身份验证器。银行、电信公司、零售商和操作系统供应商才是拥有消费者关系的一方，因此消费者规模下的硬件供应商需要合作伙伴或白标协议。
引导入职：消费者在设置通行密钥时必须采取的每一步都会让你流失用户。真实世界的银行业务部署报告了整个注册漏斗中 30% 到 60% 的流失率，这与 Baymard 研究所的结账放弃基准一致。
恢复：没有恢复方案的消费者产品是不完整的。恢复需要帐户级信号、身份验证和风险评分，所有这些都存在于依赖方内部。
跨设备旅程：同一个用户可能在手机、笔记本电脑、智能电视和汽车上登录。硬件绑定凭据仅存在于一台设备上。因此，您需要在硬件和同步凭据之间进行智能路由以避免死胡同。
测量：硬件供应商通常只管发货不管后续。他们计算售出的设备数量和激活的许可数量。他们看不到 WebAuthn 验证过程失败，也看不到用户放弃轻触。没有测量，其他四个差距都无法被弥合。

能够在自身产品中解决这五个差距的供应商，将成为端到端身份验证平台。未能做到的供应商，则只能留在组件业务中，将其产品卖入别人的平台。

7. 真正的杠杆是什么？普及工程#

普及工程意味着将硬件绑定通行密钥与驱动注册、测量每次验证过程并绕开中断路径的软件相配对。这些活动中没有一项是关于硬件本身的。要在消费者市场获胜，这四项都不可或缺，并且只有形成闭环才能发挥作用。下图展示了这四个活动是如何相互促进的。

包含四个普及工程阶段的循环反馈图：漏斗遥测、会话诊断、设备智能路由以及与发行方持续迭代。

2024 年 FIDO Alliance 身份验证晴雨表报告称，53% 的消费者已在至少一个帐户上启用了通行密钥，但受监管旅程中的硬件绑定激活率仍然低于 5%。这是一个 10 倍的差距，而普及工程正是弥合这一差距的关键。W3C WebAuthn 工作组将此差距视为部署问题，而非规范问题。

7.1 漏斗遥测#

在漏斗层面，通行密钥可观测性测量每一个单一步骤，从“用户点击登录”到“颁发会话令牌”。如果没有这种仪器测量，团队就无法区分“用户没有看到硬件选项”、“用户看到了，轻触了，但 NFC 失败了”以及“用户完成了验证过程，但依赖方拒绝了结果”。

漏斗遥测为您提供了真正重要的指标：硬件通行密钥激活率、各设备的硬件通行密钥成功率、完成时间以及按步骤的放弃率。W3C WebAuthn Level 3 规范定义了验证过程可能返回的 14 个不同的错误代码，但根据 2024 年 FIDO Alliance Authenticate 大会部署讲座的数据，大多数生产部署收集的错误代码不到五个。

7.2 会话诊断#

当单次身份验证失败时，支持团队需要确切地看到发生了什么。会话诊断捕获传输方式（NFC、USB 或 BLE）、CTAP 错误代码、浏览器、操作系统版本、设备制造商以及验证过程中每个步骤的时间计时。FIDO CTAP 2.1 规范定义了身份验证器可以返回的超过 20 个错误代码，并且这些代码被映射到 W3C WebAuthn Level 3 规范中特定的用户恢复操作。

如果没有这种遥测，支持人员只能看到“登录失败”，并可能会启动帐户恢复。

7.3 设备智能路由#

某些设备和操作系统的组合持续出现故障。来自大型部署的真实世界数据显示，在已知的受损组合中放弃率达到 40% 到 90%，常见模式记录在 Android 问题跟踪器和 2024 年 FIDO Alliance Authenticate 讲座中。

智能路由逻辑会在已知的受损组合上隐藏硬件选项，并退回到次优路径，从而防止用户陷入故障状态。但您只有在可观测性数据查明了 OpenSignal 设备数据库追踪的大约 24,000 个不同 Android 设备型号中的受损组合后，才能做出这些路由决定。

7.4 与发行方持续迭代#

根据 Gartner 关于身份计划的研究，银行和金融科技公司通常以 6 到 12 个月的周期进行试点和全面部署。获胜的平台将可观测性数据转化为每周的发布说明、错误修复和稳步提升的成功率。带有季度审查的静态部署终将败给持续迭代。

查看实际有多少人在使用 passkeys。

查看采用数据

8. 那么谁才能真正赢得消费者争夺战？#

纯粹的硬件供应商无法赢得消费者争夺战。三种原型在争夺消费者身份验证平台的角色：银行和发行方、构建软件层的硬件供应商以及操作系统平台。银行目前领先，因为他们拥有物理分发网络，并且具备来自 PSD2 和 NYDFS 第 500 部分的监管支持。操作系统平台已经在其销售的每部手机和笔记本电脑内搭载了芯片，但只要 Apple 和 Google 默认同步通行密钥，他们在同步通行密钥领域就是竞争对手，而不是硬件绑定通行密钥领域的竞争对手。

8.1 为什么银行目前处于领先#

银行今天在消费者硬件绑定通行密钥市场处于领先地位。四个优势向他们倾斜。他们已经在发行实体卡。他们拥有来自 PSD2、PSD3、NYDFS 第 500 部分、RBI 和 APRA CPS 234 的监管支持。他们拥有消费者的信任。而且，根据公开的智能卡供应商披露，他们能够在整个产品组合中吸收 2 到 5 美元的单位成本溢价。

将这四个优势与普及工程相结合的银行，能够锁定启用通行密钥客户多年的留存率。而只是购买硬件产品并以为工作就此结束的银行，最终得到的激活率与行业过去两年报告的个位数结果如出一辙。

8.2 构建软件的硬件供应商情况如何？#

第二个原型是同时也构建软件层的硬件供应商。几家安全密钥和智能卡制造商已经开始了这一转型，但需要明确说明他们所交付的是哪类软件。大多数此类产品是 IAM、设备群管理或自适应身份验证平台，而不是能弥合消费者普及差距的那种漏斗层面的通行密钥可观测性。

Yubico 构建了所有安全密钥供应商中最完整的平台。其 YubiKey as a Service 订阅服务结合了基于每位用户的许可、用于设备群和交付管理的客户门户、FIDO 预注册、Enroll 应用及 SDK，并实现全球交付，集成了 Okta、Microsoft Entra ID 和 Ping Identity。该产品主要是企业交付和生命周期层，而不是消费者普及分析。
Thales 将其 SafeNet eToken 和智能卡硬件与 SafeNet Trusted Access 搭配使用，这是一款包含 SSO 和自适应身份验证的云端身份即服务平台。
OneSpan 将其 DIGIPASS 硬件与 OneSpan Cloud Authentication 平台和智能自适应身份验证绑定，专注于银行和金融科技。
HID Global 将其 Crescendo 智能卡与 HID Authentication Service 及 HID Approve 移动身份验证器一起交付。
CompoSecure 为其 Arculus FIDO2 智能卡扩展了一个配套钱包应用以及一个面向发行方的开发者 SDK。

到目前为止，大多数此类供应商仍从硬件中获得其大部分收入。从设备交付和 IAM 将软件栈扩展到真实的验证级通行密钥可观测性的供应商，能够端到端地驱动普及。未能做到这点的供应商，则只能作为组件供应商被困在企业市场中。

8.3 操作系统平台如何？#

操作系统平台是一个特殊情况。硬件是存在的——Apple Secure Enclave、Android StrongBox 以及 Windows 11 中的 Pluton 芯片都内置于它们销售的每一台设备中——但 Apple 和 Google 上的默认通行密钥策略是同步，所以消费者开箱永远得不到真正的硬件绑定凭据。iCloud Keychain 和 Google Password Manager 会跨设备复制密钥，这使得用户可见的行为与同步通行密钥完全相同。Microsoft 的绑定 TPM 的 Windows Hello 是唯一仍将密钥保存在本地的消费者安全元件，但 Edge 也正朝着同步的方向发展，而我们将 Windows Hello 排除在硬件绑定消费者竞争之外，因为它不需要单独购买硬件。

理论上，Apple、Google 或 Microsoft 可以通过呈现与同步密钥同样优雅的平台绑定且不同步的通行密钥，来重新定义这个类别。但没有公开迹象表明他们计划这么做。只要同步依然是默认选项，操作系统平台在同步通行密钥领域就是竞争对手，而不是在硬件绑定通行密钥领域的竞争对手；专用安全密钥加上 FIDO2 智能卡依然是唯一的实际消费者硬件路径。

8.4 真正的竞争图景是什么样的？#

真正的竞争并不是“安全密钥对决智能卡”。真正的问题是，谁能建立一个消费者身份验证平台，将关键环节的硬件与软件、数据及其他各个层面的普及工程结合起来。根据 2024 年 FIDO Alliance Authenticate 大会主题演讲，在未来三到五年内可能的赢家包括：

三到五家将 FIDO2 智能卡变成消费者默认体验的大型银行和支付网络。
一两家成功转型为具有实际验证级分析能力的身份验证平台（而不仅仅是 IAM 和设备群管理）的硬件供应商。
诸如 Google 高级保护和 OpenAI 高级帐户安全之类的高价值帐户计划，前提是他们能证明有 5% 到 10% 的用户愿意真金白银地购买硬件以换取更强的帐户保护。

纯粹的硬件公司如果保持纯粹，是不可能在消费者竞争中获胜的。他们最终只会成为别人平台内部的芯片供应商。这是一门健康的生意，在企业界也是一个真正的护城河，但这并非消费者主导地位。

订阅我们的 Passkeys Substack，获取最新消息。

9. 银行、发行方和产品团队接下来该怎么做？#

对于在未来 12 个月内评估硬件绑定通行密钥的任何产品团队来说，基于 FIDO Alliance 部署手册和 Gartner 身份指南，以下三项行动至关重要。选择硬件真正能获胜的用例。将每一次硬件部署与普及工程相匹配。并从第一天起就建立数据反馈循环。

选择正确的用例：高价值交易确认、受监管旅程中的升级身份验证以及高风险细分人群的帐户恢复。不要将硬件强推给普通的消费者登录。
将硬件与普及工程配对：仪表化监测、原生应用错误处理、设备智能路由以及与同步通行密钥基准进行的明确测量对比。
及早构建数据闭环：在首次试点阶段就开始实施漏斗遥测，而不是在全面铺开之后。能够看到是哪款 Android 制造商、哪个 iOS 版本和浏览器组合导致轻触失败的团队，能够在几周内进行迭代。未能做到这点的团队则只能依赖轶闻，并只能等待支持工单。

对于硬件供应商来说，信息更为明确。要么决定保持作为组件供应商，要么构建一个平台。两者都是可行的。如果试图兼顾两者却不全力以赴，只会导致平台投资不足且芯片路线图受到干扰。

10. 结论#

硬件绑定通行密钥目前仍然是唯一达到 NIST AAL3、能够在云端帐户被攻破时幸存，并且明确满足最严格解读下的 PSD2、PSD3 等类似法规的消费者凭据类型。技术是可靠的，硅片是强大的，标准是成熟的。

但这项技术无法单凭自身赢得消费者的普及。Apple 和 Google 控制着操作系统和浏览器层。银行和发行方控制着消费者的分发渠道。硬件供应商控制着芯片。在消费者争夺战中胜出的参与者，需要通过一个能够驱动普及、测量每一次验证并绕开障碍的软件平台，将这三者结合起来。

获胜的秘方是：硬件 + 通行密钥可观测性 + 持续的普及工程。能够交付这三项的供应商或发行方，将谱写未来十年的消费者行动手册。其他人只不过是在向别人的平台出售组件而已。

关于 Corbado

Corbado 是面向大规模运行 consumer 身份验证的 CIAM 团队的Passkey Intelligence Platform。我们让你看到 IDP 日志和通用 analytics 工具看不到的内容：哪些设备、操作系统版本、浏览器和 credential manager 支持 passkey，为什么注册没有转化为登录，WebAuthn 流程在哪里失败，以及什么时候操作系统或浏览器更新会悄悄破坏登录 — 而且无需替换 Okta、Auth0、Ping、Cognito 或你自有的 IDP。两款产品：Corbado Observe 提供 针对 passkey 及任何其他登录方式的 observability。Corbado Connect 提供 内置 analytics 的 managed passkey（与你的 IDP 并存）。VicRoads 通过 Corbado 为 500 万以上用户运行 passkey（passkey 激活率 +80%）。与 Passkey 专家交谈 →

常见问题解答#

在消费者中，硬件绑定通行密钥和同步通行密钥有什么区别？#

硬件绑定通行密钥将私钥保存在物理安全元件内部，例如安全密钥、FIDO2 智能卡或内置的 TPM 芯片中。密钥永远不会离开该硬件。同步通行密钥存在于 iCloud Keychain、Google Password Manager 或第三方管理器中，它们会通过云端在您的设备之间进行复制。硬件绑定通行密钥达到了 NIST AAL3，因为私钥无法导出。同步通行密钥最高为 AAL2，因为云端同步路径使密钥可以恢复。这种保证级别的差距对于银行业、政府和医疗保健等领域的监管机构来说非常重要。

尽管通行密钥正在普及，为什么硬件安全密钥仍未在消费者中成为主流？#

根据 StatCounter 的数据，Apple 和 Google 控制着超过 99% 消费者使用的操作系统和浏览器。两者在 WebAuthn 提示中都优先考虑自己的同步凭据管理器。根据 Apple AuthenticationServices 和 Android Credential Manager 文档，在每一个默认流程中，硬件身份验证器都隐藏在更深的一到三次点击之处。Android 上的 NFC 行为在不同手机制造商中呈现碎片化，且 Conditional UI 默认指向同步凭据。最重要的是，除非某项服务强迫，否则大多数消费者不会花 40 到 80 美元去购买一个单独的身份验证器。

哪些用例能够证明消费者使用硬件绑定通行密钥是合理的？#

三个类别为消费者提供了足够的动机。第一是银行业务和支付，PSD2、PSD3、印度的 RBI 和澳大利亚的 APRA CPS 234 都要求进行强客户身份验证。第二是加密货币自我托管，丢失密钥意味着丢失资金，而且 Ledger 和 Trezor 已经出货了超过 900 万台设备。第三是高价值帐户，包括主力邮箱、政府身份钱包和创作者帐户，这类帐户被接管后造成的损失不可逆转。Google 的高级保护计划和 OpenAI 于 2026 年 4 月推出的针对 ChatGPT 的高级帐户安全计划（提供售价约 68 美元的联名 YubiKey 两件套装）均针对这一人群。在这三个类别之外，同步通行密钥通常凭便利性获胜。

FIDO2 智能卡如何融入消费者硬件通行密钥的争夺战？#

像 CompoSecure（根据其 10-K 文件，每年出货超过 1 亿张金属支付卡，提供 Arculus 作为其 FIDO2 产品）和 IDEMIA 这样的智能卡制造商，打造了带有可以托管 FIDO2 凭据的安全元件的 NFC 智能卡。消费者已经随身携带信用卡，因此在那张卡上添加硬件绑定的通行密钥，消除了对独立设备的需求。银行、新银行和加密货币托管商可以将身份验证、支付和升级身份验证整合到同一个外形规格中。困难之处在于要使 NFC 轻触在跨 iOS 和 Android 浏览器时变得可靠，并且说服发行方消化每张卡 2 到 5 美元的成本溢价。

要在消费者硬件绑定通行密钥市场真正获胜需要什么？#

优秀的硬件是必须的，但这还不够。赢家是将可信硬件的外形与一个情报平台结合，该平台能够测量注册和验证的每一个步骤，绕开出问题的设备和操作系统组合，并向发行方证明可以降低欺诈和支持成本。如果没有漏斗级的通行密钥可观测性，供应商和银行就无法分辨出 60% 的用户放弃了 NFC 轻触（这是一种在 FIDO Alliance Authenticate 2024 大会部署讲座中被记录的模式），也无法知道 Conditional UI 默默吞没了提示（如 W3C WebAuthn Level 3 规范所述）。这场竞争将由数据和软件决定，而不是看哪把钥匙拥有最坚固的钛金属外壳。