谷歌正在为安卓密码管理器提供通行密钥Passkey迁移 支持将密钥导入到新设备

谷歌在安卓系统里提供的密码管理器也已经支持 Passkey 通行密钥功能，帮助用户使用更安全的通行密钥作为 MFA 验证方式甚至替代密码，这样可以避免某些网站数据库泄露导致用户账户数据泄露。

不过这个密码管理器到现在为止还未提供通行密钥的导出和导入功能或者云同步，这意味着如果用户更换设备、恢复出厂设置或者设备丢失，那么都需要为所有网站重新创建通行密钥，如果用户在绑定通行密钥时没有设置备用恢复方法，可能还需要联系网站 / 服务商的客服提交身份证明材料进行重置。

在 2024 年 FIDO 联盟宣布正在开发跨设备和跨平台的通行密钥迁移系统，现在看起来谷歌也在努力使用该系统帮助用户更便捷的迁移密钥，但谷歌也在采取措施防止用户将密钥导出到潜在的恶意应用程序中。

Android Password Manager Passkey 示例图

Android Authority 对谷歌密码管理器 APK 文件拆解，拆解发现谷歌已经增加通行密钥导出的相关字符串，也能通过谷歌的提示词大概猜出来导出过程是什么样子。

<string name="pwm_credential_export_confirmation_title">Export passwords & passkeys</string> <string name="pwm_credential_export_no_credentials_description">You don’t have any passwords or passkeys to export from Google Password Manager for %1$s</string> <string name="pwm_install_password_manager_dialog_text">Your device doesn’t have a password manager that supports automatically transferring your passwords and passkeys. If you already downloaded your passwords, you can try importing the CSV file.</string> <string name="pwm_install_password_manager_dialog_title">Install a password manager</string>

<string name="pwm_import_credentials_dialog_description">Import passwords & passkeys from another password manager to Google Password manager</string> <string name="pwm_import_credentials_dialog_instruction_1">On the next screen, choose the password manager that has your passwords & passkeys</string> <string name="pwm_import_credentials_dialog_instruction_2">Sign in to the other password manager and follow their instructions</string> <string name="pwm_no_credentials_imported_dialog_text">The other password manager didn’t share any passwords or passkeys.</string> <string name="pwm_no_credentials_imported_dialog_title">Nothing imported</string>

<string name="pwm_export_credentials_blocked_importer_message">Export blocked for your protection</string> <string name="pwm_export_credentials_blocked_importer_sub_message">The password manager you’re trying to export to doesn’t follow best practices</string>

为避免通行密钥导出和导入功能被恶意程序利用，或者避免被某些不可靠的应用程序泄露用户的通行密钥，谷歌采取措施审查第三方应用程序尝试导出通行密钥，确保这些应用程序遵守安全协议避免泄露密钥。

暂时还不确定谷歌什么时候会正式推出这个功能，不过总得来说提供导出和导入功能让用户在更换设备时迁移通行密钥会更方便，至少不需要提前对每个网站都解绑，然后在新设备上重新设置通行密钥。

安全提醒：

通行密钥是可以替代密码的，某些网站只需要提供用户账户和通行密钥就可以登录，而用户账户通常都是电子邮件地址基本都被泄露过，因此通行密钥关乎用户账户安全，如无必要用户不应该尝试导出通行密钥，也不应该将通行密钥分享给任何人。

关注公众号：拾黑（shiheibook）了解更多

赞助链接：

关注数据与安全，洞悉企业级服务市场：https://www.ijiandao.com/
四季很好，只要有你，文娱排行榜：https://www.yaopaiming.com/
让资讯触达的更精准有趣：https://www.0xu.cn/