PCI DSS 4.0 身份验证：Passkeys

1. 引言#

数字世界在不断演进，网络威胁的复杂性和频率也随之增加。支付卡数据仍然是恶意行为者的主要目标，因此，对于任何处理这些数据的组织来说，建立强大的安全标准至关重要。支付卡行业数据安全标准 (PCI DSS) 长期以来一直是保护持卡人数据的基准。其最新版本 PCI DSS 4.0 代表了一次重大的进步，通过大幅加强身份验证要求等增强功能，直接应对现代威胁。

在各组织应对这些新要求的同时，新兴技术也提供了有前景的解决方案。基于 FIDO（线上快速身份验证）联盟标准和 WebAuthn 协议构建的 Passkeys，正处于这波新身份验证浪潮的前沿。它们提供了一种无密码、抗网络钓鱼的方法，并改进了对敏感数据的访问安全。本文分析了 PCI DSS 4.0 带来的关键变化，特别是安全身份验证方面的变化，探讨了 Passkey 身份验证的功能，并为利用这项技术实现和维持合规性提供了路线图。

这一探索为在这个新领域中探索的组织引出了两个重要问题：

1. 身份验证：随着 PCI DSS 4.0 提高了身份验证的标准，组织如何在不给用户或安全团队带来过重负担的情况下，有效满足这些严格的新要求？
2. Passkeys 与 PCI 合规性：像 Passkeys 这样的新兴技术能否满足 PCI DSS 4.0 的身份验证控制要求，同时增强安全性并提高运营效率？

本文旨在提供答案，引导技术专业人员走向一个更安全、更合规的未来。

2. 理解 PCI DSS 及其 4.0 版本的变化#

要理解 Passkeys 在当前合规环境中的作用，首先必须了解 PCI DSS 框架以及 4.0 版本所标志的重大演变。

2.1 什么是支付卡行业数据安全标准 (PCI DSS)？#

PCI 数据安全标准是一项全球性的信息安全标准，旨在保护支付数据。它适用于所有存储、处理或传输持卡人数据的实体，包括商家、处理商、收单机构、发卡机构和服务提供商。该标准由主要支付卡品牌共同制定（美国运通、发现金融服务、JCB 国际、万事达卡和 Visa），这些品牌于 2006 年 9 月 7 日成立了 PCI 安全标准委员会 (PCI SSC)，以管理其持续发展。PCI DSS 包含一套全面的技术和运营要求，构成了在整个生命周期中保护支付数据的基线。

2.2 PCI 安全标准委员会 (PCI SSC) 及其使命#

PCI SSC 是一个全球性论坛，汇集了支付行业的利益相关者，共同开发和推动数据安全标准和资源的应用，以实现全球安全支付。除了 PCI DSS，该委员会还管理着一系列标准，涵盖支付安全的各个方面。其使命是通过制定标准和支持服务来增强全球支付账户数据的安全性，这些服务旨在推动利益相关者的教育、意识和有效实施。

2.3 向 PCI DSS 4.0 的演变：关键驱动因素和目标#

PCI DSS 4.0 标准于 2022 年 3 月正式发布，随后根据利益相关者的反馈进行了小幅修订 (v4.0.1)，标志着该标准多年来最重大的更新。这次演变的主要驱动力是需要应对日益复杂的网络威胁环境以及支付行业不断变化的技术环境。

PCI DSS 4.0 的核心目标是：

• 满足支付行业不断变化的安全需求： 确保标准能有效应对当前和新兴的威胁，例如基于人工智能的网络钓鱼。
• 将安全作为持续过程来推广： 将重点从一次性的合规检查转变为持续的安全实践。
• 加强验证方法和程序： 提高合规性评估的严谨性和一致性。
• 增加灵活性并支持其他方法： 允许组织在如何实现安全目标和成果方面有更大的自由度。

2.4 4.0 版本的核心变化：关注安全成果、持续安全、定制化实施和过渡时间表#

PCI DSS 4.0 引入了几项根本性变化，影响了组织实现合规的方式：

关注安全成果 vs. 规定性控制

一个关键的变化是从主要依赖规定性控制转向强调安全成果。标准本身也阐述了这种灵活性：

这种转变意味着，虽然 PCI DSS 3.2.1 提供了关于_做什么_的详细说明，但 4.0 版本允许组织在_如何_满足要求方面有更大的灵活性。企业可以实施最适合其环境的控制措施，只要它们能证明这些控制措施实现了既定的安全目标。这对于采用像 Passkeys 这样的创新技术尤为重要，因为这些技术可能无法完全契合旧的、更僵化的控制描述。然而，这种灵活性也要求组织进行彻底的风险评估，并清楚地证明其所选控制方法的合理性。

持续安全（日常业务）

PCI DSS 4.0 的另一个关键原则是提倡将安全作为一项持续的、日常业务 (BAU) 流程。标准在第 5 节中对此进行了详细说明：

这种对“日常业务”(BAU) 流程的强调意味着组织必须将安全融入其日常活动中。这关乎培养一种文化，在这种文化中，安全不是事后诸葛亮或年度冲刺，而是运营中不可或缺的一部分，确保持续监控、定期评估和自适应的安全态势，以确保持卡人数据的持续保护。对于 Passkey 的实施而言，这意味着要持续监控其有效性、用户采用模式以及任何新出现的威胁，使安全成为一项持续的努力，而不是一次性的合规活动。

定制化实施与定向风险分析

PCI DSS 4.0 的一个重要新特性是正式化的定制化实施选项，这与严格的风险评估密切相关。标准在要求 12.3.2 中强制规定了这种联系：

这个正式化的选项允许组织使用新技术和针对其独特环境量身定制的创新控制来满足安全目标，而不是严格遵守规定性的方法。然而，正如引文所强调的，这种灵活性是以对每个定制化控制进行定向风险分析为前提的。该分析必须被记录、经高级管理层批准并每年审查。然后，第三方评估师（合格安全评估师或 QSA）通过审查组织的文件化方法（包括风险分析）并制定具体的测试程序来验证这些定制化控制。这条路径是像 Passkeys 这样的解决方案的关键推动者，允许组织有效利用其先进的安全功能，前提是它们能通过风险评估证明其方法满足安全目标。这种支持稳健风险分析的定制化实施能力，反映出一种理解，即威胁和防御技术的快速发展使得僵化、规定性的控制随着时间的推移适应性越来越差。

过渡时间表

PCI DSS 3.2.1 与 v4.0 并行有效至 2024 年 3 月 31 日，此后被废止。PCI DSS 4.0 中引入的新要求在 2025 年 3 月 31 日之前被视为最佳实践。此日期之后，这些新要求将成为所有评估的强制性要求。这种分阶段的方法为组织提供了一个窗口，以理解、规划和实施这些变化。

这些变化共同标志着一种更成熟、更具适应性和更注重风险的支付卡安全方法，为采用更强大、更现代的身份验证机制奠定了基础。

3. 风险巨大：PCI DSS 不合规的后果#

未能遵守 PCI DSS 要求不仅仅是一种疏忽；它会带来严重且多方面的后果，可能严重影响组织的财务稳定、法律地位和声誉。

3.1 经济处罚#

不合规最直接的后果是经济处罚。这些罚款通常由收单银行和支付处理商征收，而非直接由 PCI SSC 征收。罚款金额可能相当可观，从每月 5,000 美元到 100,000 美元不等，具体取决于处理的交易量（这决定了商家级别，例如，每年超过 600 万笔交易为 1 级，而每年低于 20,000 笔电子商务交易为 4 级）以及不合规的持续时间和严重程度。例如，一个连续数月不合规的 1 级商家更有可能面临此范围上限的罚款，而较小的 4 级企业可能面临每月接近 5,000 美元的罚款。

必须理解的是，这些罚款可能是每月重复的负担。这种持续的财务压力，可能因支付处理商向不合规企业收取的增加的交易费而加剧，意味着_不合规_的累积成本远超_实现和维持合规_所需的投资。这将合规重新定义为一项关键的风险缓解投资，而不仅仅是一个成本中心。投资于强大的安全措施，包括像 Passkeys 这样的强身份验证，成为避免这些更大、通常不可预测且可能造成严重后果的成本的明智财务决策。

3.2 法律和监管后果#

除了直接罚款，不合规还可能导致严重的法律挑战，尤其是在导致数据泄露的情况下。数据受损的客户可能会提起诉讼，卡品牌也可能采取法律行动。不合规的状态会使原告更容易证明组织的疏忽，可能导致昂贵的和解和判决。

3.3 声誉损害和客户信任丧失#

也许最具有破坏性、尽管较难量化的后果是对组织声誉的损害。一次合规失败，特别是导致数据泄露的失败，会严重侵蚀客户信任。一旦失去，这种信任很难重新获得，通常会导致客户流失、业务被竞争对手抢走以及品牌形象的长期损害。重复或严重的违规行为甚至可能导致卡品牌或收单银行撤销组织的支付处理权限，实际上切断了他们接受卡支付的能力。这凸显了将合规视为品牌信任和业务连续性的基本组成部分，而不仅仅是一项技术要求的重要性。

3.4 数据泄露赔偿成本#

如果不合规导致了数据泄露，组织除了罚款和法律费用外，还可能需要承担巨额的赔偿成本。这些成本可能包括为受影响的客户提供免费信用监控、身份盗窃保险以及欺诈性收费或服务费的报销。此外，重新发行受损支付卡的成本估计为每张卡 3 到 5 美元，对于影响大量持卡人的泄露事件，这笔费用可能迅速攀升至数百万美元。相反，如果一个组织在完全符合 PCI DSS 的情况下遭受泄露，相关的罚款可能会降低甚至免除，因为合规表明了尽职调查和对安全的承诺，而非疏忽。

这一系列潜在的负面后果凸显了 PCI DSS 合规性对于支付卡生态系统中任何实体而言，都是现代商业运营中不可或缺的一个方面。

4. PCI DSS 4.0 加强版身份验证控制：深入了解要求 8#

PCI DSS 的要求 8 一直是该标准的基石。在 4.0 版本中，其规定得到了显著加强，反映了强大的身份验证在防止未经授权访问敏感持卡人数据及其处理系统方面的关键作用。

4.1 要求 8 概述：识别和验证对系统组件的访问#

要求 8 的主要目标是确保每个访问持卡人数据环境 (CDE) 内或连接到 CDE 的系统组件的个人都能被唯一识别并进行强有力的身份验证。这对于维护持卡人数据的完整性和安全性至关重要，通过防止未经授权的访问，并确保所有操作都可以追溯到特定的已知用户，从而建立个人问责制。

4.2 强化的多因素身份验证 (MFA) 强制要求#

PCI DSS 4.0 的一个主要演变是扩展和加强了多因素身份验证 (MFA) 的要求：

• CDE 访问的通用 MFA： 与 PCI DSS 3.2.1 主要要求对管理访问和所有对 CDE 的远程访问实施 MFA 不同，4.0 版本要求对_所有_进入 CDE 的访问实施 MFA。这包括管理员、普通用户和第三方供应商的访问，无论访问是来自网络内部还是外部。这一重大扩展凸显了 PCI SSC 对 MFA 作为基本安全控制的认可。该标准明确了这些要求：

  要求 8 摘录

  “8.4.1 对于具有管理权限的人员，所有非控制台访问 CDE 的行为都必须实施 MFA。” 

  “8.4.3 对于所有源自实体网络外部、可能访问或影响 CDE 的远程访问，都必须实施 MFA。” 

• 因素要求： MFA 实施必须使用三种公认的身份验证因素类型中的至少两种：

  • 你知道的东西（例如，密码、PIN）
  • 你拥有的东西（例如，令牌设备、智能卡或持有 Passkey 的设备）
  • 你是什么（例如，指纹或面部识别等生物特征数据）。至关重要的是，这些因素必须是独立的，意味着一个因素的泄露不会危及其他因素。

• MFA 系统完整性： MFA 系统必须设计成能够抵抗重放攻击（攻击者截获并重用身份验证数据），并且只有在所有必需的身份验证因素都成功验证后才能授予访问权限。

• 禁止未经授权的绕过： 任何用户，包括管理员，都不得绕过 MFA，除非管理层针对特定情况、在有限时间内授予了明确记录的例外。

• 抗网络钓鱼身份验证作为例外： PCI DSS 4.0 还引入了关于抗网络钓鱼身份验证因素的额外指导，在某些情况下，这些因素可以满足 MFA 的意图。

  要求 8 摘录

  “此要求不适用于……仅使用抗网络钓鱼身份验证因素进行身份验证的用户帐户。” — 8.4.2 的适用性说明 

  “抗网络钓鱼身份验证……抗网络钓鱼身份验证的例子包括 FIDO2。” — 附录 G，抗网络钓鱼身份验证的词汇表定义 

  正如这些摘录所强调的，抗网络钓鱼身份验证的意义将在下一节（4.3）中进一步探讨。

4.3 强调抗网络钓鱼身份验证#

PCI DSS 4.0 特别强调使用抗网络钓鱼的身份验证方法。这是对网络钓鱼攻击在攻破传统凭证方面普遍性和成功率的直接回应。

• 抗网络钓鱼身份验证作为 MFA 的替代/补充：

  • 在要求 8.4.2 下的一个关键发展是，对于所有源自实体网络内部的非管理性访问 CDE 的行为，可以使用抗网络钓鱼的身份验证方法来_替代_传统的 MFA。这对于像 Passkeys 这样天生具有抗网络钓鱼特性的技术来说是一项重要规定。它表明 PCI SSC 认为这些先进方法提供的保证水平，对于这种特定用例，与某些传统 MFA 组合相当甚至更优。

• 然而，对于 CDE 的管理访问（要求 8.4.1）和所有源自实体网络外部进入 CDE 的远程访问（要求 8.4.3），虽然强烈推荐使用抗网络钓鱼身份验证，但它必须与至少一个其他身份验证因素结合使用才能满足 MFA 要求。 这种区别要求在 Passkey 实施中采取一种细致的方法，可能是一种分层策略，即 Passkeys 单独足以满足普通内部用户，但对于更高风险的访问场景，则使用 Passkeys 与另一个因素的组合。

• FIDO 的认可和专家见解： 该标准特别提到基于FIDO的身份验证（Passkeys 的基础）是实现 MFA 的首选方法，主要是由于其强大的抗网络钓鱼特性。关于这个主题的更多见解在 PCI SSC 的“与委员会喝咖啡”播客节目“密码与 Passkeys：与FIDO 联盟的讨论”中分享了（https://blog.pcisecuritystandards.org/coffee-with-the-council-podcast-passwords-versus-passkeys-a-discussion-with-the-fido-alliance）。

  在播客中，PCI SSC 的杰出标准架构师副总裁 Andrew Jamieson 强调了这些技术的价值：

  “我想重申，我认为抗网络钓鱼身份验证是一项伟大的技术。它可以解决我们目前在密码方面遇到的许多问题。我强烈建议人们在考虑将要实施何种身份验证技术时，去了解抗网络钓鱼身份验证及其能带来的好处，但也要理解它与人们习惯的方式有些不同，并研究如何将其正确、安全地集成到他们的整体身份验证架构中。”

  FIDO 联盟的首席营销官 Megan Shamas（参见 FIDO 领导层）强调了这些技术所代表的根本性转变以及政策需要适应的需求：

  “它与我们习惯的密码加因素、因素、因素的方式根本不同，我们已经发展了技术，现在人们也需要随之发展他们的要求和政策。这将真正帮助组织走上摆脱可被钓鱼的身份验证的正确道路。”

  这一共同观点凸显了行业向更安全、更现代的身份验证方法的转变。

4.4 新的密码和口令要求（如果使用）#

虽然 PCI DSS 4.0 强烈推崇 MFA 和抗网络钓鱼方法，但如果密码和口令仍在使用，它也收紧了相关要求：

• 增加长度和复杂性： 最小密码长度已从 v3.2.1 的 7 个字符增加到 v4.0 的 12 个字符（如果系统不支持 12 个字符，则至少为 8 个字符）。密码还必须包含数字和字母的组合。
• 密码更改频率： 如果密码是用于身份验证的_唯一_因素（即该帐户的该访问未应用 MFA），则密码必须至少每 90 天更改一次。如果为该访问实施了 MFA，或者组织采用了持续的、基于风险的身份验证，能够实时动态评估访问，则可以免除此要求。

密码规则的显著加强，加上扩展的 MFA 强制要求和对抗网络钓鱼方法的明确支持，表明了 PCI SSC 的一个战略方向：系统地减少对密码作为主要或唯一身份验证机制的依赖。密码长期以来被认为是安全中的薄弱环节，PCI DSS 4.0 积极寻求通过使其单独使用更加严格和不具吸引力，同时推广更强大、更现代的替代方案来减轻其固有风险。

为了清楚地说明这些转变，下表比较了 PCI DSS 3.2.1 和 4.0 之间的关键身份验证方面：

表 1：身份验证的关键差异：PCI DSS 3.2.1 vs. 4.0

PCI DSS 4.0 对身份验证的这种高度关注，为组织重新评估其当前策略并探索像 Passkeys 这样更具弹性的解决方案指明了清晰的方向。

5. Passkeys：抗网络钓鱼身份验证的未来#

基于 FIDO 联盟标准，Passkeys 提供了一种比传统密码甚至某些传统 MFA 形式更安全、更用户友好的替代方案。

5.1 什么是 Passkeys？(FIDO 标准, WebAuthn)#

Passkey 是一种数字凭证，允许用户登录网站和应用程序而无需输入密码。它们建立在 FIDO2 标准之上，这是由 FIDO 联盟开发的一套开放规范。WebAuthn 是万维网联盟 (W3C) 的一项标准，使浏览器和 Web 应用程序能够使用加密密钥对执行强大的、抗网络钓鱼的身份验证。本质上，Passkeys 是这些 FIDO2 标准的实现，利用 WebAuthn 在 Web 环境中进行交互。它们用安全存储在用户设备（如智能手机、电脑或硬件安全密钥）上的唯一加密密钥取代了传统密码。

5.2 Passkeys 的工作原理：密码学、设备绑定、生物识别/PIN#

Passkeys 的安全性植根于公钥密码学。当用户向服务（“信赖方”或 RP）注册 Passkey 时，会生成一个唯一的加密密钥对：

• 一个**私钥**，安全地存储在用户的设备上。此密钥可能位于硬件安全模块（例如，TPM 或 Secure Enclave）内。私钥永远不会离开这个安全存储（除非是同步 Passkey 的情况，稍后会详述）。
• 一个**公钥**，发送给信赖方（网站或应用程序服务）并由其存储，与用户帐户关联。

在身份验证期间，过程如下：

1. 信赖方向用户的设备发送一个唯一的“质询”（一段随机数据）。
2. 为了解锁和使用私钥，用户在其设备上执行本地验证。这通常涉及使用生物识别标识符（如指纹或面部扫描）、输入设备 PIN 或绘制图案。重要的是，这些生物特征数据或 PIN 永远不会离开用户的设备，也不会传输给信赖方。
3. 一旦解锁，设备上的私钥会对从信赖方收到的质询进行签名。
4. 这个签了名的质询（“断言”）被发送回信赖方。
5. 信赖方使用存储的、与该用户对应的公钥来验证断言上的签名。如果签名有效，身份验证成功。

主要有两种类型的 Passkeys：

• 同步 Passkey： 这些 Passkeys 可以通过基于云的凭证管理器（如苹果的 iCloud Keychain 或 Google Password Manager）在用户的受信任设备之间同步。这提供了便利，允许在一个设备上创建的 Passkey 在同一用户拥有的、同一生态系统内的另一台设备上使用。
• 设备绑定 Passkey： 这些 Passkeys 绑定到特定的物理认证器，例如 USB 硬件安全密钥（如 YubiKey）或特定手机上的应用程序。Passkey 不会离开这个特定设备。

这种密码学基础和本地用户验证过程提供了固有的安全优势，直接解决了许多常见的攻击向量。

5.3 固有的安全优势：抗网络钓鱼、无共享秘密、防范凭证填充和账户接管 (ATO)#

Passkeys 的设计比传统身份验证方法提供了几个安全优势：

• 抗网络钓鱼： 这是一个基石性的好处。Passkeys 通过密码学绑定到它们被创建的特定网站源（信赖方 ID 或 RP ID）。如果用户被诱骗访问一个模仿合法网站的虚假钓鱼网站，浏览器或操作系统会识别出当前域名与 Passkey 关联的 RP ID 不匹配。因此，Passkey 根本无法工作，身份验证将失败。这将识别钓鱼企图的负担从通常易犯错的人类用户转移到了技术本身强大的安全协议上。
• 无共享秘密： 使用 Passkeys，不存在像密码那样由用户和服务器共同知晓并可能被盗的“共享秘密”。作为身份验证关键组件的私钥，永远不会离开用户的安全设备。服务器存储的公钥与私钥在数学上相关，但不能用于推导私钥或冒充用户。这意味着即使信赖方的服务器被攻破，公钥被盗，如果没有相应的私钥，它们对攻击者也毫无用处。
• 防范凭证填充和重放攻击： 凭证填充攻击（攻击者使用被盗的用户名和密码列表尝试访问各种帐户）变得无效，因为没有密码可以被盗用和重用。此外，每次 Passkey 身份验证都涉及一个独特的质询-响应机制。私钥生成的签名是针对该特定登录会话收到的质询而特定的，这使得攻击者无法截获身份验证断言并在稍后重放以获得未经授权的访问。
• 显著降低账户接管 (ATO) 风险： 通过有效中和网络钓鱼、消除共享秘密以及防止凭证填充和重放攻击，Passkeys 极大地减少了用于账户接管的主要攻击向量。由于攻击者无法轻易获取或滥用用户的身份验证凭证，成功 ATO 的可能性急剧下降。

这种从基于知识的身份验证（用户知道什么，如密码）到基于拥有的（用户拥有什么——他们带有安全密钥的设备）和基于内在或本地知识的（用户通过生物识别是什么，或他们通过设备 PIN 本地知道什么）身份验证的根本性转变，从根本上打破了依赖于攻破可远程使用的共享秘密的攻击链。与许多增加摩擦的安全措施不同，Passkeys 通常通过提供更快、更简单的登录而无需记住复杂密码来改善用户体验，这种双重好处可以推动采用并增强整体安全态势。

6. 弥合差距：Passkeys 如何满足 PCI DSS 4.0 的身份验证控制要求#

Passkeys 固有的强大安全特性与 PCI DSS 4.0 强制要求的强化身份验证控制（特别是在要求 8 中概述的那些）非常吻合。Passkeys 不仅满足这些要求，而且通常提供比传统方法更高的安全性。

6.1 直接满足要求 8 的 MFA 和抗网络钓鱼标准#

Passkeys 天生就满足 PCI DSS 4.0 定义的多因素身份验证的核心原则：

• 多因素特性： 一次 Passkey 身份验证事件通常结合了“你拥有的东西”（包含私钥的物理设备，如智能手机或硬件安全密钥）和“你是什么”（用于解锁设备上 Passkey 的生物识别信息，如指纹或面部扫描）或“你知道的东西”（设备 PIN 或图案）。这些因素是独立的；例如，泄露设备 PIN 并不会在设备本身保持安全的情况下危及加密密钥。
• 抗网络钓鱼： 如前所述，由于其密码学性质和源绑定，Passkeys 在设计上就是抗网络钓鱼的。私钥永远不会暴露给信赖方或在网络上传输，并且 Passkey 只会在其注册的合法域上运行。这直接符合 PCI DSS 4.0 对减轻网络钓鱼威胁的强烈强调。
• 抗重放： 每次 Passkey 身份验证都涉及来自服务器的唯一密码学质询，然后由私钥签名。生成的签名仅对该特定质询和会话有效，使其能够抵抗重放攻击。这满足了要求 8.5，该要求规定 MFA 系统必须防止此类攻击。

6.2 超越传统的基于密码的安全性#

与传统密码相比，Passkeys 提供了远为优越的安全模型。密码容易受到多种攻击：网络钓鱼、社交工程、因密码重用导致的凭证填充、暴力攻击以及从被泄露的数据库中盗窃。Passkeys 通过完全从等式中移除共享秘密（密码）来消除这些漏洞。身份验证依赖于拥有私钥的密码学证明，而私钥本身受到本地设备安全的保护，而不是依赖于一个容易被盗或猜测的秘密。

6.3 PCI SSC 对 Passkeys 的看法#

PCI 安全标准委员会已经认识到 Passkey 技术的潜力。PCI SSC 的 “与委员会喝咖啡”播客中与 FIDO 联盟的讨论为我们提供了他们立场的清晰说明：

• 对于从实体网络_内部_对持卡人数据环境 (CDE) 的非管理性访问（要求 8.4.2），PCI SSC 指出，像 Passkeys 这样的抗网络钓鱼身份验证方法可以用来_替代_传统的 MFA。这是对 Passkeys 强度的一个重要认可。
• 对于对 CDE 的管理访问（要求 8.4.1）和任何对网络的远程访问（要求 8.4.3），虽然推荐使用 Passkeys（作为抗网络钓鱼身份验证），但它们_必须与另一个身份验证因素结合使用_以满足 MFA 要求。这表明了一种基于风险的方法，即更高权限或更高风险的访问场景需要额外的层次。
• PCI SSC 正在积极制定指导意见，例如常见问题解答，以帮助组织理解如何以合规的方式实施 Passkeys，并认识到 Passkeys 代表了从传统基于密码的思维方式的根本性转变。
• 此外，PCI DSS 4.0 文档明确将基于 FIDO 的身份验证作为实施 MFA 的首选（尽管非强制）方法，强调了其与标准目标的一致性。

这一立场允许组织战略性地部署 Passkeys。对于广大的内部访问 CDE 的非管理用户，无缝的Passkey 登录可以满足合规要求。对于管理员和远程用户，Passkeys 为 MFA 解决方案提供了一个强大的、抗网络钓鱼的基础。

6.4 Passkey 类型、因素独立性和证明：应对 QSA 对要求 8 的期望#

虽然 Passkeys 提供了显著的安全升级，但 PCI DSS 合格安全评估师 (QSA) 会仔细审查其实施，特别是对于像 CDE 管理访问这样的高风险场景（要求 8.4.1），以确保真正满足多因素身份验证的原则。关键考虑因素包括 Passkey 的类型、身份验证因素的独立性以及证明的使用。

6.4.1 同步 Passkey vs. 设备绑定 Passkey：#

正如我们已经讨论过的，Passkeys 主要有两种形式：

• 同步 Passkey： 这些 Passkey 通过云服务（如苹果的 iCloud Keychain 或 Google Password Manager）在用户的受信任设备之间同步。它们提供了便利，因为在一个设备上创建的 Passkey 可以在另一台设备上使用。
• 设备绑定 Passkey： 这些 Passkey 绑定到特定的物理认证器，例如 USB 硬件安全密钥（如 YubiKey）或特定手机的安全硬件。私钥不会离开这个特定设备。

6.4.2 因素独立性与 QSA 审查#

PCI DSS 规定 MFA 因素必须是独立的，意味着一个因素的泄露不会危及其他因素。一个 Passkey 通常结合了“你拥有的东西”（带有私钥的设备）和“你知道/你是什么”（用于解锁密钥的本地设备 PIN 或生物识别）。

对于同步 Passkey，虽然对许多攻击具有高度安全性，但一些 QSA 可能会对管理访问（要求 8.4.1）中“拥有”因素的绝对独立性提出疑问。担忧在于，如果同步 Passkey 的用户云帐户（例如，Apple ID、Google 帐户）被攻破，私钥可能会被克隆到攻击者控制的设备上。这可能导致一些评估师认为，在高风险情境下，同步 Passkey 可能不满足对两个完全独立因素的严格解释，如果同步机制本身没有用强大的 MFA 进行稳健保护的话。NIST 指南，例如，承认同步 Passkey 符合 AAL2，而设备绑定 Passkey 可以满足 AAL3，后者通常涉及不可导出的密钥。

• 理解 WebAuthn 认证器标志： 在 WebAuthn 仪式（Passkeys 的基础）期间，认证器会报告某些标志。两个重要的标志是：
  • uv=1 (User Verified - 用户已验证)： 此标志表示用户已成功向认证器本地验证其身份，通常使用设备 PIN 或生物识别。此验证作为一个身份验证因素——“你知道的东西”（PIN）或“你是什么”（生物识别）。
  • up=1 (User Present - 用户在场)： 此标志确认用户在仪式期间在场并与认证器进行了交互（例如，通过触摸安全密钥）。虽然这对于证明用户意图和防止某些远程攻击至关重要，但用户在场本身通常不被视为满足 MFA 多因素要求的独立身份验证因素。它是一个重要的安全特性，但通常不计为第二个_因素_。
• 设备绑定 Passkey 和硬件安全密钥的作用： 对于管理访问（要求 8.4.1）和其他高保证场景，存储在硬件安全密钥上的设备绑定 Passkey 为因素独立性提供了更有力的论据。由于私钥被设计为永不离开硬件令牌，“你拥有的东西”这一因素能更稳健地抵御通过软件攻击或云帐户泄露进行的克隆。这使它们成为许多希望满足 QSA 对管理 MFA 严格期望的组织的首选。

6.4.3 用于认证器验证的证明#

证明是 WebAuthn 的一个特性，其中认证器在 Passkey 注册过程中向信赖方（您的 FIDO 服务器）提供关于自身的可验证信息（例如，其品牌、型号、认证状态、是否基于硬件）。

• 它对 PCI DSS 的重要性： 证明可以向 QSA 提供关键证据，证明所使用的认证器符合组织的安全策略，并且确实是它们声称的样子（例如，一个经过认证的硬件安全密钥）。在证明身份验证因素的强度和独立性时，这一点尤其重要。
• 建议： 对于像管理 CDE 访问这样的高安全性访问，强烈建议在支持强大证明的硬件安全密钥上使用 Passkeys。这允许组织强制执行有关可接受认证器类型的策略，并提供更强的合规证明。

在实践中，为了避免在要求 8.4.1 上的审计摩擦，许多企业选择在硬件安全密钥上发行设备绑定 Passkey，这些密钥能提供强大的密钥保护保证和潜在的证明。

6.5 将 Passkeys 映射到要求 8 的子条款#

为了清楚地说明 Passkeys 如何弥合差距并满足要求 8 中详述的控制，下表将特定的 Passkey 特性和特征映射到相关的子条款，并指明它们对不同场景的适用性。

此映射表明，Passkeys 不仅在理论上适用，而且是满足 PCI DSS 4.0 先进身份验证需求的实用且强大的解决方案。

7. 结论：拥抱 Passkeys 实现强身份验证#

支付安全领域复杂且不断演变。PCI DSS 4.0 反映了这一现实，为安全控制设立了更高的标准，尤其是在身份验证领域。在各组织努力满足这些新的、更严格的要求时，基于 FIDO/WebAuthn 标准构建的 Passkeys 不仅作为一种合规解决方案出现，更是一种有望重新定义安全访问的变革性技术。

在整个分析过程中，两个核心问题引导了我们的探索：

1. 随着 PCI DSS 4.0 提高了身份验证的标准，组织如何在不给用户或安全团队带来过重负担的情况下，有效满足这些严格的新要求？ 证据强烈表明，组织可以通过战略性地采用像 Passkeys 这样的抗网络钓鱼多因素身份验证 (MFA) 解决方案，来有效满足 PCI DSS 4.0 的身份验证要求。这些技术天生就在强大的、经密码学验证的安全性与显著改善的、通常更快的用户体验之间取得了平衡。此外，PCI DSS 4.0 允许“定制化实施”，使组织能够根据其特定环境和风险状况量身定制此类先进解决方案，超越了一刀切的方法。PCI SSC 自身的指导进一步促进了这一点，允许为大部分用户简化合规流程，同时为更高风险的管理和远程访问保留更多层次化的方法。
2. 像 Passkeys 这样的新兴技术能否不仅满足 PCI DSS 4.0 的强大身份验证控制，还能提供超越单纯合规的实际好处，例如增强的安全性和提高的运营效率？ 答案是肯定的。Passkeys 已被证明能够满足 PCI DSS 4.0 要求 8 中的核心身份验证控制，包括其 MFA、抗网络钓鱼和抗重放标准。然而，它们的价值超越了单纯的合规。Passkeys 的内在设计——消除共享秘密并将身份验证绑定到特定源——极大地降低了成功网络钓鱼攻击和账户接管的风险，从而切实减少了与欺诈相关的损失。在运营上，从密码转向 Passkeys 意味着更少的密码相关帮助台工单，节省了成本并释放了 IT 资源。用户受益于更简单、更快、更少挫败感的登录体验，这可以提高生产力和客户满意度。此外，在密码被 Passkeys 完全替代的特定访问路径上，与密码相关的审计负担被消除，可能简化了这些领域的合规工作。

通往真正安全的支付生态系统的旅程是持续的。PCI DSS 4.0 设立了新的里程碑，而 Passkey 身份验证为达到这些里程碑提供了强大的工具。我们强烈建议处理、存储或传输持卡人数据的组织评估并开始规划采用 Passkeys。这不仅仅是为了遵守最新版本的标准；这是为了拥抱一种更安全、更高效、更以用户为中心的身份验证方法，这与数字身份的未来相一致。通过战略性地实施 Passkeys，企业可以加强其对不断演变的威胁的防御，保护宝贵的支付数据，并在日益数字化的世界中与客户建立更大的信任。

关于 Corbado

Corbado 是面向大规模运行 consumer 身份验证的 CIAM 团队的Passkey Intelligence Platform。我们让你看到 IDP 日志和通用 analytics 工具看不到的内容：哪些设备、操作系统版本、浏览器和 credential manager 支持 passkey，为什么注册没有转化为登录，WebAuthn 流程在哪里失败，以及什么时候操作系统或浏览器更新会悄悄破坏登录 — 而且无需替换 Okta、Auth0、Ping、Cognito 或你自有的 IDP。两款产品：Corbado Observe 提供 针对 passkey 及任何其他登录方式的 observability。Corbado Connect 提供 内置 analytics 的 managed passkey（与你的 IDP 并存）。VicRoads 通过 Corbado 为 500 万以上用户运行 passkey（passkey 激活率 +80%）。 与 Passkey 专家交谈 →