FIDO Alliance网站

专门推动各种身分验证标准、以减轻对密码依赖的开放联盟FIDO Alliance，周一（10/14）发表了一组新规范，包括凭证交换协定（Credential Exchange Protocol，CXP）与凭证交换格式（Credential Exchange Format，CXF），以推动凭证的可携，包括通行密钥（Passkey）与其它凭证。

Passkey是由一组密钥组成，其中的公钥用于注册网站或App，私钥则是存放在用户设备上，于所登录的服务注册了Passkey之后，用户即可利用设备上的生物辨识功能或设备PIN码来登录各式服务。Passkey被视为比密码安全又方便的凭证，不管是微软、苹果或Google等科技业者皆已支持Passkey。

FIDO联盟表示，安全凭证交换是该联盟的焦点，新的工作草案将能进一步加速Passkey的采用并改善用户体验，迄今已有超过120亿个网络帐号是通过Passkey存取。相较于传统密码或是双因素身分验证，采用Passkey登录可减少网络钓鱼，消除重复使用的密码，而且登录速度提升了75%，登录成功率也增加了20%。

只不过，现阶段尚无法在不同的密码管理员或生态系统间安全地移动Passkey，CXP与CXF这两个规范草案定义了如何将凭证从一个凭证管理员安全地发送到另一个凭证管理员，确保传输不是以明文进行。

此一草案是由1Password、苹果、Bitwarden、Dashlane、Enpass、Google、微软、NordPass、Okta、三星及SK Telecom等FIDO联盟成员所组成的凭证供应商特别兴趣小组（Credential Provider Special Interest Group）共同制定，意谓着它们都将加入凭证可携的行列。