阅读约 5 分钟
身份保险库用同步通行密钥还是硬件密钥?
同步通行密钥可在你的多台设备间漫游,硬件密钥则绑定设备、由你亲手掌控。只要支持 WebAuthn PRF,CardanoWall 两者都能用来解锁身份保险库——无论选哪种,身份种子始终是你真正的备份。
同步通行密钥和硬件密钥都能解锁你的 CardanoWall 身份保险库,但它们各有侧重。日常使用通常更适合同步通行密钥,因为它会通过你的通行密钥提供方跟着你到新手机或新笔记本上。高价值身份通常更适合硬件密钥,因为它绑定设备、由你亲手掌控。
只要你的浏览器、操作系统和认证器都支持 WebAuthn PRF 扩展,两者都能充当保险库的解锁因素。而且无论哪种,解锁因素都只是便利,而非托管:你真正的身份是身份种子。
什么是同步通行密钥?
同步通行密钥,就是由提供方在你的多台设备间提供的一把通行密钥。
这个提供方可能内置于你的操作系统、浏览器、密码管理器,或某个平台账户。好处显而易见:换一台新设备,登录同一个提供方,通行密钥就已经在那里了。
对 CardanoWall 来说,这让日常使用变得轻松。你登录、确认通行密钥提示,加密身份保险库随之打开——不必输入身份种子。
代价是,你会一并继承同步该通行密钥的那个提供方的安全与恢复模型。它的账户保护、它的多设备恢复、它的故障方式,都会成为你的。
什么是硬件密钥?
硬件密钥是一种实体认证器——一把握在你手里的 USB、NFC 或 BLE 安全密钥。
绑定设备的硬件密钥不会自行同步到新电脑上。要用它解锁,就必须有这把实体密钥在场。这正是它的意义所在:凭据不会悄悄出现在某个你没有亲手放置过它的地方。
硬件密钥很适合敏感身份:
- 新闻编辑室或举报人接收身份
- 法律与证据身份
- 高价值的公司身份
- 生产环境的 API 或网关运维身份
- 任何不该依赖消费级云同步的身份
代价在运维层面。一旦丢失密钥,你就要退回到另一个已注册的因素,或退回到身份种子。
有一点务实的提醒:漫游 USB/NFC 密钥的 PRF 支持,不如平台通行密钥那样统一。截至 2026 年初,macOS 和 iOS 上的 Safari 无法可靠地把 PRF 数据传给漫游认证器,所以在 Apple 设备上,即便平台通行密钥可用,硬件密钥也未必能充当保险库因素。请在依赖某把硬件密钥之前先测试它,而不要想当然地认为它处处都能用。
哪种更安全?
这取决于你的威胁模型——没有一个绝对的赢家。
同步通行密钥在抵御钓鱼攻击和密码库泄露方面表现出色,还能降低设备损坏时你失去访问权的概率。硬件密钥则在凭据能存在于何处这一点上提供更强的掌控,适合那些需要实体保管、资产追踪、密钥仪式,或对「谁能解锁某个共享身份」有明确策略的团队。
便利和掌控都是安全属性。失去访问权同样是一种安全失败。最好的选择,是那个你在压力之下真能正确操作的方案。
CardanoWall 怎么使用它们?
作为保险库的解锁因素——绝不充当身份本身。
你的 CardanoWall 身份就是身份种子:一段 32 字节的秘密,每一把密钥都由它派生而来。通行密钥或硬件密钥并不取代这段种子。它解锁的是为你的账户存放种子的那个加密保险库,好让你在新设备上登录时,不必每次重新输入种子。
保险库是一份 age 加密的密文,仅寻址到你的 WebAuthn-PRF 因素——每注册一把通行密钥或硬件密钥,就对应一个 stanza。这里没有可供暴力破解的口令派生 stanza,也没有可供未来量子攻击瞄准的公钥 stanza;真正相关的风险面是针对 256 位对称密钥的 Grover 式搜索,它仍留下大约 128 位的有效裕量。服务持有这份密文,却无法解密。如果某个因素能在浏览器仪式中产出所需的 PRF 输出,它就能打开保险库;如果产不出来,CardanoWall 就不应注册它。关于这套设计具体防范什么,参见通行密钥如何保护你的身份保险库。
正因如此,在你决定使用某个因素之前,能力检测才如此重要。
为什么 PRF 支持很关键?
因为并非每把通行密钥都能解锁加密保险库。
普通的 WebAuthn 能向某个网站证明你是谁。但打开保险库需要更多:认证器必须把密钥材料交给浏览器,用来解密本地密文。这项额外能力就是 WebAuthn PRF 扩展,而它的支持情况因浏览器、操作系统和认证器而异。
CardanoWall 在注册某个因素之前会做 PRF 能力检测,而不是凭浏览器名称去猜;如果你的环境无法支持 PRF,它会把你引导到仅用种子的路径。那条路径并不是退化模式——它是可移植的根基。身份种子能在任何设备、任何符合标准的工具上工作,过程中既不需要提供方,也不需要任何服务。
普通用户该选哪种?
通常是同步的平台通行密钥。
对日常的个人身份而言,同步通行密钥是最佳折中:用起来方便、跨设备恢复容易,还省得你成天粘贴种子。一套合理的配置大致是这样:
- 把身份种子存进密码管理器,或一个安全的离线位置
- 添加一把同步的平台通行密钥
- 如果你用好几台设备,再添加第二个因素
- 不要在你不信任的机器上解锁高价值身份——如果非用不可,请使用什么都不留存的公用电脑模式
通行密钥是便利。种子是恢复与可移植性。无论你选哪种解锁因素,都请把种子保存好。
团队该选哪种?
硬件密钥,加上有据可查的种子保管。
团队通常不太在意随手的便利,而更看重掌控。团队身份可以是有意共享的,但「有意共享」并不等于「可以悄悄复制」。一套合理的团队配置是:
- 由不同的负责人分别保管两把硬件密钥
- 一份打印出来的身份种子,存入保险柜
- 一份书面的访问策略
- 一套保管权变更时的轮换流程
- 每条主要工作流配一个独立身份
- 停用不应再签名的身份
对共享身份要诚实承认一个边界:任何持有种子的人都能以该身份签名和解密。硬件密钥保护的是某台设备上的保险库访问;它们无法让一段共享的种子变得部分有效或可撤销。一旦种子本身已经被传来传去,对它的掌控就荡然无存了——这是种子的属性,而非解锁因素的属性。
如果丢了一个会怎样?
换用另一个因素,或退回到种子。
如果你丢了一台同步设备,但另一台设备上仍有通行密钥提供方,通常可以照常使用。如果你丢了一把硬件密钥,就移除那个因素:保险库会向你剩下的因素重新加密,旧密文会被硬删除。如果所有因素都没了,身份种子就是恢复路径。而如果连种子也一并没了,那么该身份未来的使用也就到此为止——但它此前已发布的一切,仍可仅凭公开数据永远验证。
移除对当前保险库而言是真正的撤销,但它不具回溯力——它是服务层的掌控,不是时光机。如果某个因素可能在你移除它之前已被盗用,那就把情况当作可能的种子泄露来处理:移除因素能阻止它打开重新加密后的保险库,却无法撤销任何此前的使用。对疑似种子泄露的正确应对,是新建一个身份并停用旧的,而不是做重置。这套生命周期——活跃、停用、删除——是另一个话题了。
简短版本
同步通行密钥便利,能在多台设备间漫游。硬件密钥更受掌控,会乖乖待在你放它的地方。只要 WebAuthn PRF 可用,CardanoWall 两者都能当作保险库的解锁因素。
日常的个人使用,通常该选同步通行密钥。高价值身份或团队身份,硬件密钥也许值得那份额外的仪式——前提是 PRF 能配合它们工作。无论哪种情形,都请保存好身份种子:通行密钥解锁保险库,但种子才是身份。
延伸阅读
- FIDO Alliance——通行密钥概览:https://fidoalliance.org/passkeys/
- W3C——Web Authentication (WebAuthn) Level 3:https://www.w3.org/TR/webauthn-3/
- Yubico——开发者指南:用 WebAuthn PRF 派生密钥:https://developers.yubico.com/WebAuthn/Concepts/PRF_Extension/Developers_Guide_to_PRF.html