在企业环境中部署通行密钥

一句话判断

如果你的企业在考虑用 Passkeys 替代密码，这场 Session 讲清楚了 Passkeys 如何防御钓鱼、凭证盗窃和双因素认证绕过——以及苹果今年为企业环境新增的托管式 iCloud Keychain 支持。

这场 Session 讲了什么

Session 从企业安全的角度介绍了 Passkeys 的部署，重点覆盖了三种常见攻击的防御能力和企业环境的特殊需求。

Passkeys 的安全优势。Passkeys 用 Touch ID 或 Face ID 认证，无需密码。它们对每个 App 或网站都是唯一且强随机的，极端抵抗钓鱼攻击（Passkeys 绑定了服务器域名，伪造网站无法使用）。凭证盗窃方面，Passkeys 存储在设备的安全芯片中，服务器不存储任何可被窃取的秘密。双因素认证被内置——设备本身就是”你拥有的东西”，生物识别就是”你本人”。

企业部署的新工具。今年苹果为 Managed Apple IDs 增加了 iCloud Keychain 支持，IT 管理员可以通过 MDM 策略控制 Passkeys 的同步行为。声明式设备管理（Declarative Device Management）提供了新的配置选项来管理 Passkeys 在企业设备上的使用。

与企业身份提供商的集成。Passkeys 基于 FIDO 联盟标准，可以与企业现有的身份提供商（如 Okta、Azure AD）集成。OpenID Connect 支持在 Apple Business Manager 和 Apple School Manager 中也新增了。

值得深挖的点

钓鱼防御的技术原理：Passkeys 的核心安全特性是域名绑定。认证时，浏览器/操作系统会验证当前网站域名是否与 Passkeys 创建时的域名匹配。即使员工点击了钓鱼链接，Passkeys 也不会在伪造网站上工作。这是传统密码和 SMS 验证码无法做到的。

托管式 iCloud Keychain：企业 IT 可以通过 MDM 控制是否允许 Passkeys 在员工设备间同步。这在”便利性 vs 控制力”之间提供了选择——允许同步意味着员工换设备时无缝迁移，不允许同步意味着凭证不会离开注册设备。

从密码到 Passkeys 的过渡：企业不需要一步到位。可以先用 Passkeys 作为第二因素，逐步过渡到完全替代密码。FIDO 标准确保了跨平台兼容性——苹果设备创建的 Passkeys 可以在 Windows/Android 上通过 QR 码认证。

代码片段

企业环境中 Passkeys 的工作流程（概念示意）：

// Passkeys 使用 WebAuthn/FIDO2 标准协议
// 企业身份提供商（IdP）作为依赖方（Relying Party）

// 注册流程：
// 1. 员工在企业门户点击"注册 Passkey"
// 2. 浏览器/系统发起 WebAuthn 注册请求
// 3. 设备生成唯一的密钥对
// 4. 公钥发送到企业服务器存储
// 5. 私钥保存在设备的安全芯片中
// 6. 通过 iCloud Keychain 可选同步到其他设备

// 认证流程：
// 1. 员工访问企业应用，点击"使用 Passkey 登录"
// 2. 系统展示 Face ID / Touch ID 验证
// 3. 设备用私钥签署服务器发来的 challenge
// 4. 签名发送到服务器验证
// 5. 无需密码，无需短信验证码

最佳实践

• 从高风险用户群体（管理员、高管）开始试点 Passkeys
• 利用 MDM 策略控制托管设备的 Passkeys 同步行为
• 保留密码作为过渡期的备用认证方式
• 确保企业身份提供商支持 FIDO2/WebAuthn 标准
• 教育员工识别钓鱼尝试——Passkeys 能防御，但安全意识仍然重要

还有什么值得关注

• Managed Apple IDs 的 iCloud Keychain 配置详情
• 跨平台 Passkeys 认证（苹果设备登录 Windows 服务）的实际体验
• Passkeys 在共享设备场景下的处理方式
• 企业 Passkeys 的恢复流程（员工丢失设备时）