密码这种繁琐的操作流程,也该换换了。每次登录都要在记忆里翻找那一长串字符组合,确实让人头疼——而「通行密钥」(Passkeys)的登场,就是要终结这个局面。
作为一变钱代化的「防钓鱼」验证方案,通行密钥正逐步重塑数字生活的登录体验。它直接调用系统原生的 Windows Hello 功能,借助人脸识别、指纹或 PIN 码,把「无密码登录」这件事变得既安全又高效。
接下来,我们就在 Windows 11 上把这套流程走一遍:从系统要求、功能开启,到创建密钥、实际登录,再到私钥管理,全都梳理清楚。

通行密钥 vs. 传统密码
互联网行业的头部厂商,已经集体把通行密钥视为身份验证的未来方向。这背后的逻辑很清晰:
- 极致便捷:告别「设置复杂密码」和「忘密码重置」的恶性循环。Windows Hello 的验证速度就是一次刷脸、一次指纹触摸,或一串简单的 PIN 码——比手动敲键盘快得多。
- 安全隔离:每个通行密钥都与特定网站或应用唯一绑定。即便某个服务的密钥数据出现泄露(尽管概率极低),黑客也无法用它去撞库其他账户。
- 免疫钓鱼:这是与传统密码最本质的区别——从根本上杜绝了网络钓鱼攻击的可能,是目前安全级别最高的验证方式之一。
- 移动漫游:即使人不在电脑前,也能通过蓝牙或扫码,用手机或平板协助完成登录。
前提条件
想要获得完整的原生体验——比如系统级的管理界面和条件 UI——Windows 11 23H2 及以上版本是更扎实的选择:
| 功能 | Windows 11 22H2 | Windows 11 23H2 | Windows 11 24H2 | Windows 11 25H2 |
|---|---|---|---|---|
| Windows Hello | ✅ | ✅ | ✅ | ✅ |
| WebAuthn API | v3 | v4 | ✅ | ✅ |
| 混合认证 | Chrome/Edge | Windows Hello | Windows Hello | Windows Hello |
| WebAuthn ECC 算法 | ❌ | ✅ | ✅ | ✅ |
| 条件 UI | ❌ | ✅ | ✅ | ✅ |
| 系统设置管理界面 | ❌ | ✅ | ✅ | ✅ |
| Windows Hello 同步 | ❌ | ❌ | ✅ | ✅ |
Windows 11 通行密钥核心优势
在 Windows 体系里用通行密钥,相比传统密码,有两个维度的明显升级:
基于 TPM 的防护
- 核心机制是公钥加密。私钥被直接锁在设备的 TPM 2.0 芯片里,永远不出设备,也不上传服务器。这种架构让钓鱼攻击和凭证盗窃几乎找不到下手的地方——因为网络上根本没有「密码」在传输。
飞跃的用户体验
- 彻底甩掉记忆负担。在 Windows 设备上,验证过程简化成一次 Windows Hello 交互——刷脸、按指纹或输入设备 PIN 码,都比手动敲一串长密码来得快。
使用 Windows 11 通行密钥功能
启用功能
1、首先,确认你已经启用 Windows Hello 功能。
2、按下 Windows + I 快捷键打开「设置」,依次进入「隐私和安全性」→「通行密钥」。
3、打开以下两个开关:
- 允许通行密钥访问:本设备的应用在创建或使用密钥时,可以选择是否获得许可。
- 允许通行密钥自动填充:本设备的应用在枚举密钥时,可以选择是否获得许可。

允许通行密钥访问和自动填充
创建密钥
目前,主流服务——Google 帐户、GitHub、OpenRouter,以及微软自家的 Microsoft 帐户——都已支持通行密钥登录。只要网站或应用接入了这套标准,你就可以为它创建并保存密钥。
以 Passkeys demo 演示网站为例,其他平台的流程基本一致:
1、在保存 Passkeys 时点击「继续」。

保存 Passkeys
2、验证你的 PIN 码、人脸或指纹,完成保存。

完成 Windows Hello 验证
使用 Passkeys 登录
登录过程通常分为两种场景:
1、触发登录:在登录界面点击用户名输入框(通常是邮箱、手机号或 ID)。
2、执行验证:
- 如果网站支持条件 UI,系统会自动在输入框下方或键盘上方弹出建议的账户名,点击即可完成登录。
- 如果没有自动弹出,手动输入你的用户名,系统识别后会提示使用通行密钥。

使用 Passkeys 登录
3、生物识别:调用 Windows Hello 解锁私钥——PIN 码、人脸或指纹,任选其一。

进行 Windows Hello 验证
4、完成:验证通过后,系统自动完成登录跳转。

完成登录跳转
管理私钥
想查看或管理已保存的密钥,可以进入「设置」→「帐户」→「通行密钥」。这里会列出所有存储在本地的密钥,并支持一键删除。

管理本地 Windows 11 通行密钥
跨设备同步的难题与解法
原生同步的局限性
- 目前 Windows 11 本地存储的通行密钥,还无法直接、无缝地同步到其他生态系统(比如 iOS 或 Android)。
- 简单说,如果你把密钥存在 Windows 电脑里,想在 iPhone 上登录同一个网站,就得通过扫描二维码这种「混合认证」方式借用电脑的验证能力——体验上多少有些割裂。
私钥一旦离开设备,安全风险就会大幅攀升,所以未来大概率也不会提供直接的跨平台同步功能。不过有个例外:Microsoft Edge 已经支持通行密钥跨设备同步。
使用第三方密码管理器
为了打破生态壁垒,实现真正的「一次创建,处处登录」,更推荐的做法是将通行密钥集成到第三方密码管理器中——像 1Password 或 Bitwarden 这类主流工具。
- 操作逻辑:在创建密钥时,选择保存到「密码管理器」,而不是 Windows 11 本地。
- 最终效果:保存后,你在任何安装了该密码管理器的设备上(无论是 Mac、iPhone 还是 Android 手机),都可以直接调用通行密钥,跨平台体验相当丝滑。
