密钥 (Passkey) 问题排查：常见问题与错误解决方案

密钥 (Passkey) 正迅速成为安全无缝用户身份验证的标准。像亚马逊、WhatsApp、Coinbase 和 TikTok 这样的科技巨头已经采用了这项技术，而 Facebook、LinkedIn 和 X/Twitter 等公司也即将跟进。然而，与任何新兴技术一样，仍然存在一些对最终用户来说很新的 UI/UX 概念，例如错误消息。用户经常遇到密钥问题，例如“没有匹配的密钥”或“密钥无法使用”。此外，许多信赖方 (relying party) 会定义自己的错误消息，因为目前还没有太多经过验证的最佳实践（除了 FIDO 联盟的 UIX 指南）。在某些情况下，如果服务报告“此设备上没有任何密钥”，则可能需要仔细检查您的设备设置，因为现代密钥解决方案旨在消除这种混淆。

密钥代表了身份验证领域的一次范式转变，将身份验证从后端转移到了前端，因为密钥通过操作系统 API 与设备的安全隔区 (secure enclave)、可信平台模块 (TPM) 或 TEE 进行交互。

因此，有效的用户沟通和错误处理变得至关重要。习惯了传统身份验证方法的用户，现在在使用密钥时面临着一个学习曲线。通过我们在 X（前身为 Twitter）和 Reddit 等平台上的互动，我们观察到频繁出现的密钥错误和大量困惑。我们写这篇文章的目标是帮助更多用户在遇到这些密钥问题时找到解决方法。我们将分析常见的密钥问题并提供实用的解决方案，从而增强用户体验和对密钥的信心。如果您发现设备上的“Google 密钥无法使用”，请考虑检查您的浏览器或系统更新。

密钥代表了无密码身份验证的一大步，它利用 WebAuthn API，并得到了 FIDO 联盟和万维网联盟 (W3C) 的支持。此外，密钥基于公钥加密技术的原理。

想象一下，在创建一个帐户时，您的设备会自动生成一对唯一的公钥和私钥。这些密钥是相互关联的，就像为特定锁量身定制的钥匙一样。要成功进行身份验证，这两个元素都必不可少。

最奇妙的部分是什么？公钥是与网站或应用程序（即信赖方）共享的唯一组件。而私钥则安全地保留在您的设备上。

身份验证过程非常用户友好。当您尝试登录时，网站或应用程序会发送一个“挑战”(challenge)。这时就轮到您操作了：通过使用设备的生物识别信息或 PIN（例如，通过面容 ID、触控 ID 或 Windows Hello），您可以解锁您的私钥。然后，您的设备利用此密钥对挑战进行签名，并将此签名发回以供验证。网站或应用程序利用其拥有的公钥来确认此签名的真实性。

这个过程之所以真正无缝，在于其速度和透明度。从用户角度来看，您只是通过面容 ID 验证您的身份。与此同时，在这个过程背后，这个复杂的机制高效地验证了您的凭据，从而授予您对帐户的访问权限。

启用 iCloud 钥匙串：

对于在 Apple 设备上使用 Safari 的用户，必须启用 iCloud 钥匙串才能使用密钥。这对于跨设备共享和同步密码至关重要。要设置 iCloud 钥匙串，请导航至设备的设置，选择您的 Apple ID，进入 iCloud，然后启用 iCloud 钥匙串（在此处阅读更多信息）。在启用了钥匙串的 iCloud 帐户上，Apple 会强制要求底层的 iCloud 帐户受多因素身份验证 (MFA) 保护。

需要 iOS 16 或 macOS Ventura：

运行 iOS 16 或更高版本，或 macOS Ventura 或更高版本的设备支持密钥。这些较新的操作系统包含了密钥功能所必需的增强安全特性。用户应确保其设备已更新到这些版本或更高版本（在此处阅读更多信息）。

设置 Windows Hello：

在 Windows 10+ 设备上，必须配置 Windows Hello 才能使用密钥（有关不同 Windows 版本对密钥支持的更多详细信息，请参见此处）。Windows Hello 是一种基于生物识别的技术，它使用户能够通过指纹、面部识别或 PIN 来安全地访问其设备和应用程序。要设置 Windows Hello，请转到“设置”，然后是“帐户”，在“登录选项”下，按照提示设置 Windows Hello（在此处阅读更多信息）。

Android 9 或更高版本：

密钥支持至少需要 Android 9。这是因为较新的 Android 版本与生物识别和安全硬件存储等安全功能有更好的集成，这些功能对密钥至关重要。

更新 Google Play 服务：

确保 Google Play 服务是最新版本，因为它在管理 Android 设备上的安全和身份验证过程中起着关键作用。如果您在 Android 上遇到“Google 密钥无法正常工作”的问题，检查 Google Play 服务中的更新和配置可能会解决问题。

此外，在所有平台上，请确保所使用的 Web 浏览器已更新到最新版本。像 Safari、Chrome 和 Edge 这样的浏览器经常发布更新以改进安全功能，包括对密钥的支持。

以下列表包含典型的密钥错误。除了提供错误原因外，还给出了对其他人有效的潜在解决方案：

• 原因： 当在 Apple 设备上存储密钥所需的 iCloud 钥匙串未启用时，会发生此错误。
• 解决方案： 前往“系统设置”中的 Apple ID 面板启用 iCloud 钥匙串。确保其已正确设置为在您的设备之间同步密钥。

• 原因： 当用户尝试使用未存储在其 iCloud 钥匙串中或未在其设备间同步的密钥访问服务时，通常会发生此错误。
• 解决方案： 确保 iCloud 钥匙串已启用并在所有设备上正确同步。检查特定服务的密钥是否确实保存在 iCloud 钥匙串中。如果您看到详细消息提示“您的 iCloud 钥匙串中没有存储匹配的密钥”，请确保在所有设备上重新启用同步。

• 原因： 在当前设备上找不到密钥，并且 WebAuthn 服务器不允许任何跨平台密钥身份验证。如果身份验证系统无法检测到密钥，此错误消息会强调“没有可用的密钥”，并可能显示诸如“此设备上没有任何密钥”的提示。
• 解决方案： 验证您的设备上是否存在密钥。如果您已在本地或客户端（例如，在您的 iCloud 钥匙串设置或 Google 密码管理器设置中）删除了密钥，您还需要在信赖方的帐户设置中从服务器端删除该密钥，这样系统就不会继续期望它的存在。

• 原因： 当尝试在已为同一帐户拥有密钥的设备上注册新密钥时，会出现此消息。一些信赖方限制用户每个设备（或生态系统，例如同步的 iCloud 钥匙串或 1Password）和帐户只能有一个密钥。通常，此设置在 WebAuthn 服务器属性 excludeCredentials 中定义。
• 解决方案： 检查您的设备设置，查看是否已存在密钥并使用它，或者尝试从其他设备添加新密钥。或者，进入信赖方的帐户设置，删除此设备和帐户的现有密钥，然后尝试创建一个新的。

• 原因： 密钥与特定帐户和平台（例如设备或像 iCloud 钥匙串这样的云同步平台帐户）绑定。如果您在尝试使用密钥登录时看到二维码，这意味着您当前使用的设备/平台上还没有密钥（但可能之前已在您的 iOS 或 Android 智能手机上设置过）。另一个原因是服务器限制了允许使用的密钥（通过 WebAuthn 服务器属性 AllowCredentials），而这些密钥在您的设备上不可用。
• 解决方案： 如果您之前创建密钥的设备有摄像头，您或许可以扫描二维码以使用该现有密钥登录（这称为密钥跨平台身份验证）。如果提供，您应该能够使用备用身份验证方法登录。登录后，您可以在信赖方的帐户设置中为您正在使用的新/当前设备设置一个额外的密钥。

• 原因： 当身份验证需要硬件安全密钥（例如 YubiKey）时，会出现此提示，这可能是由于缺少可信平台模块 (TPM) 或禁用了 Windows Hello。另一个原因是您所在的设备没有蓝牙功能（例如较旧的台式机），并且设备上没有合适的密钥。
• 解决方案： 将硬件安全密钥（例如 YubiKey）插入 USB 端口。或者，如果您希望在没有硬件安全密钥的情况下进行身份验证，请启用 Windows Hello（需要事先创建与 Windows Hello 配合使用的密钥）。

• 原因： 当本应使用密钥的 Android 设备未激活屏幕锁定功能时，通常会发生此错误。出于安全原因，启用屏幕锁定是在 Android 上使用密钥的先决条件。
• 解决方案： 要解决此问题，请在您的 Android 设备上启用屏幕锁定功能。这通常可以通过设备的安全设置来完成。激活屏幕锁定后，请再次尝试使用密钥。

• 原因： 此错误可能由多种原因引起，例如您正在使用的应用程序或软件出现故障、临时服务器问题或设备设置不兼容。
• 解决方案： 重新启动应用程序或设备，然后再次尝试生成密钥。如果问题仍然存在，请检查应用程序或您设备的操作系统是否有任何可用更新。如果是服务器端问题，您可能需要等待一段时间后再试。

• 原因： 如果密钥被手动删除（无论是在客户端还是服务器端），通常会发生许多类似的错误消息。即使您的本地私钥仍然存在，但如果服务器上没有相应的公钥，就会触发“我们找不到匹配的密钥”的错误。
• 解决方案： 尝试从另一台设备访问您的帐户，或使用您之前可能设置的备用登录方法。然后，您通常可以在帐户设置中创建一个新密钥。

• 原因： 这是 PayPal 或类似平台通常会提示的错误，表明正在使用的设备或浏览器不支持或不具备创建或使用密钥的功能。
• 解决方案： 确保您的设备和浏览器是最新版本。如果设备或浏览器本身不支持密钥，请考虑更换为兼容的设备或浏览器。

• 原因： 这可能是由于密钥输入不正确、服务器与您的设备之间出现临时通信问题或身份验证过程中出现故障。
• 解决方案： 仔细检查您正在输入的密钥。如果正确，请稍后再试。如果问题仍然存在，请检查您的互联网连接，或考虑在可能的情况下重置您的密钥。

• 原因： 当服务器响应时间过长时，通常会发生此错误，这可能是由于网络连接问题或服务器负载过高。
• 解决方案： 检查您的互联网连接，确保信号稳定且强大。如果连接正常，问题可能出在服务器端，这种情况下您应该在服务器不那么繁忙时再试。

密钥正在为实现更安全、更用户友好的数字环境铺平道路。通过利用公钥加密技术的力量，它们消除了传统密码的漏洞，提供了强大而无缝的身份验证体验。随着我们向前发展，理解和排查常见的密钥错误变得至关重要。这些知识不仅能增强用户信心，还能促进更广泛的采用。如果您想了解有关密钥的所有最新消息（包括密钥错误处理和问题排查），请加入我们的 Slack 密钥社区或订阅我们的 Substack 密钥专栏。