在家使用 FIDO2 鑰匙設定 Windows Hello。

最後更新: 17/12/2025
作者: 艾薩克
  • FIDO2 金鑰和通行金鑰透過將實體或數位裝置與以下裝置結合使用,實現無密碼登入: Windows 您好!
  • Windows 10 和 11 提供管理 FIDO2 金鑰、PIN 碼和生物識別技術的原生支持,但某些功能取決於公司策略。
  • 微軟正在推動無密碼的未來,新帳戶預設使用密碼密鑰創建,並能有效抵禦網路釣魚攻擊。

使用 Windows Hello 啟用多重驗證

如果你厭倦了沒完沒了的密碼,並且想在不讓生活變得複雜的前提下提高電腦安全性, 在家中使用 FIDO2 按鍵設定 Windows Hello 目前來看,這是你能做的最佳舉措之一。在家庭環境中,我們經常忘記關掉瀏覽器視窗或使用弱密碼,而切換到無密碼登入則能顯著提升安全性和便利性。

好消息是,所有公司用來保護其帳戶的技術(Microsoft Entra ID、FIDO2 安全金鑰、密碼等) 它也可以在安裝了 Windows 10 的家用電腦上使用, 窗戶11你只需要了解 FIDO2 金鑰是什麼,它與 Windows Hello 有什麼關係,以及在非企業環境下它的局限性,這樣你在登入時就不會遇到任何奇怪的意外。

什麼是FIDO2金鑰?它如何與Windows Hello搭配使用?

Windows Hello 的 FIDO2 安全金鑰

FIDO2 鍵基本上是: 無密碼物理認證設備 它們取代了傳統的使用者名稱+密碼組合。它們通常採用密鑰格式。 USB 或 NFC 設備,並結合本地 PIN 碼或生物辨識手勢(例如觸控感應器)來確認是您自己在使用它們。

背後的技術已由…標準化 FIDO聯盟透過WebAuthor和CTAP它基於公鑰加密技術:私鑰部分儲存在金鑰或裝置上並受到保護,而公鑰部分則註冊到服務提供者(例如微軟、您的大學、您的公司、銀行等)。這可以防止密碼被盜或在其他網站上重複使用。

Windows Hello 就此發揮作用 Windows 本機驗證層它允許您使用臉部辨識、指紋辨識、PIN 碼解鎖設備,或在較新的版本中,使用儲存在裝置上的密碼解鎖。將 Windows Hello 與 FIDO2 金鑰結合使用,您的電腦即可用於這兩種用途:

  • 登入 Windows 系統 使用 FIDO2 金鑰(在裝置與 Microsoft Entra ID 關聯的公司中非常常見)。
  • 在網站和應用程式上進行身份驗證 支援 FIDO2 / 密碼(微軟, Google銀行等)。

在家庭環境中,您的 FIDO2 鑰匙通常主要用於 登入線上服務 在某些進階情況下,如果您已將電腦與 Microsoft 帳戶或 Microsoft 登入關聯並已啟動相應的策略,則還需要登入 Windows 本身。

在 Windows 10 和 Windows 11 中使用 FIDO2 按鍵的要求和限制

在你急著去買U盤並將其插入電腦之前,最好先弄清楚技術要求和其他一些事項。 影響企業和家庭用戶的實際限制即使您不打算在家中設定 Intune 或群組策略,您仍然會受到其中許多條件的影響。

關於作業系統,為了使 Windows 能夠與 FIDO2 相容,建議電腦運行 Windows 10 版本 1903 或更高版本 (實際上,如今幾乎所有人都至少使用 1909 年版本)或 Windows 11。對於連接到 Microsoft Entra ID 混合系統的設備,需要 Windows 10 版本 2004 或更高版本,這在商業領域比在家庭領域更為常見。

有很多種情況,其中 FIDO2 按鍵不支援或僅部分可用。如果你在家進行更進階的操作,這也會影響你:

  • 不支援使用儲存在 Microsoft Authenticator 中的密碼金鑰登入或解鎖 Windows 設備,就像使用直接系統存取金鑰一樣。
  • 純粹的環境 本機部署的 Active Directory (僅限本機網域,無需 Microsoft 登入)與使用 FIDO2 的 Windows 登入不相容,除非進行特定設定。
  • 遠端桌面場景 RDP、VDI 或 Citrix 他們只考慮使用某些 WebAuthn 重定向機制的 FIDO2;它並不透明。
  • 不支援使用 FIDO2 金鑰 S / MIME 也不能在 Windows 中執行「以…身份執行」類型的操作。
  • 您不能只使用 FIDO2 金鑰像使用智慧卡憑證一樣直接登入 Windows 伺服器。
  • 如果你在連網時沒有使用安全金鑰登入設備,就無法指望離線時使用它來解鎖設備。
  • 如果使用相同的密碼,則該帳戶可能註冊了多個帳戶。 Windows 系統傾向於使用最新新增的驅動程式。 用於解鎖設備,儘管在 WebAuthn 中,瀏覽器允許您選擇特定帳戶。
  • 具有以下功能的設備 Windows 10版本1809 他們不允許使用 FIDO2 鑰匙解鎖;要獲得良好的體驗,您必須使用 1903 或更高版本的系統。
  在 Windows 中透過鍵盤存取 Copilot 的方法

在線上環境中,微軟要求使用者在將 FIDO2 金鑰註冊為 Microsoft Entra ID 中的無密碼方法之前,必須完成以下步驟: 過去五分鐘內啟用多因素身份驗證 (MFA)對於家庭用戶而言,這意味著您第一次將金鑰關聯到您的帳戶時需要第二個因素(身份驗證器應用程式、簡訊、電話等)。

如何註冊和使用FIDO2金鑰到您的帳戶(線上和在電腦上)

如果您使用 Microsoft 帳戶(Outlook, 的Xbox例如 OneDrive 等)或基於 Microsoft 的企業/教育帳戶。輸入 ID,密鑰註冊流程非常相似。 基本步驟始終是:登錄,新增 FIDO2 方法,然後依照瀏覽器的精靈操作。.

在微軟的入口網站上, 典型流程 你可以在家中複製以下步驟:

  • 進入該區域 您帳戶的安全例如,來自 account.microsoft.com 或來自 mysignins.microsoft.com/security-info.
  • 點擊 新增登入方法 o 添加方法.
  • 選擇 聖女貞德 o 安全金鑰(FIDO2) 在下拉式選單中選擇並繼續。
  • 請說明您的設備是否為 USB o NFC取決於你擁有的鑰匙。
  • 按照瀏覽器給予的指示操作:插入 USB 密鑰,將 NFC 密鑰靠近,觸摸感應器,輸入 PIN 碼等。
  • 流程結束時,分配一個 可識別的名稱 金鑰(例如,「USB 家用鑰匙」或「FIDO2 NFC 便攜式」)。

設定完成後,您的 FIDO2 金鑰即可使用。 無密碼登入方法 無論是在 Windows 10/11 系統或其他系統(macOS、Windows 10/11 和 Windows 10/11)上,都可以透過 Edge、Chrome 或 Firefox 等瀏覽器存取。 Android, iOS只要它們支援 FIDO2/WebAuthn,就可以使用金鑰登入。如果您的 Windows 電腦由某個組織管理,您甚至可以使用該金鑰登入該電腦,前提是 IT 部門已啟用此功能。

從系統角度來看,安全金鑰充當了一種方法 兩階段驗證這與其他驗證方式(例如應用驗證、簡訊或電話)類似。但是,與電子郵件或安全性問題不同,FIDO2 金鑰並非用於重設密碼,而是作為強大的身份驗證機制。

在家用電腦上透過 Windows Hello 管理 FIDO2 按鍵

Windows 包含一個專門的章節 在「設定」應用程式中管理 FIDO2 安全金鑰這對於在家中更改鑰匙的 PIN 碼、在贈送鑰匙時重設鑰匙密碼,或確保沒有人能用您的鑰匙重新登入您的帳戶都非常有用。

在 Windows 10 和 Windows 11 中,傳統方法是到 設定 > 帳戶 > 登入選項 > 安全性金鑰 然後點擊 管理接下來,系統會要求您插入 USB 金鑰或將其靠近 NFC 讀取器以驗證您的身分。

從該面板,按照製造商(如 YubiKey、飛天等)的具體說明,您可以… 將鑰匙重設為原廠設置這將清除實體設備上儲存的所有帳戶訊息,使其可以重新開始使用,或者可以安全地交給其他人。

該助手還為您提供了以下選項: 建立一個新的PIN碼 若要變更金鑰或現有金鑰,請輸入兩次新 PIN 碼,確認後,從那時起,使用該 FIDO2 金鑰的任何操作(登入 Microsoft、您的公司等)都需要更新後的 PIN 碼。

如果您遺失了金鑰或決定不再使用它,除了根據需要進行實體擦除之外,至關重要的是, 將其從您帳戶的身份驗證方法清單中移除。在微軟安全入口網站上,只需搜尋該金鑰,然後點擊“刪除”,確認即可:即使有人找到了該金鑰,他們也無法再使用它來存取您的帳戶。

Windows Hello、PIN 碼以及家庭環境中常見的疑問

許多使用 Windows 本機帳戶的使用者都遇到了同樣的問題:「我使用 PIN 碼啟動了 Windows Hello,以便在網站上使用 FIDO2,但現在 la 鎖屏 它總是讓我輸入PIN碼,而不是密碼。Hello 能否僅用於存取網站而不用於登入 Windows?

在目前的 Windows 設計中,Windows Hello PIN 碼是設計… 本地登入的主要方法雖然此 PIN 碼僅在您的電腦上有效(不會透過網路傳輸),但實際上,Windows 會在啟動後優先使用此 PIN 碼,而不是本機帳戶密碼或 Microsoft 帳戶密碼。

  在 Windows 11 檔案總管中使用標籤和顏色

目前沒有原生、簡單且微軟支援的選項來告訴系統:“在瀏覽器中使用 PIN 碼和 Windows Hello 進行 FIDO2 身份驗證,但是…” 不要將其顯示為 Windows 登入畫面上的選項如果您想阻止 PIN 碼作為首選方法出現,解決方法是直接停用它作為登入方法,但這反過來會限製或複雜化 Hello 與某些密碼的整合使用。

在企業環境中,會使用更進階的身份驗證和條件存取策略組合,但在家用電腦上則不然。 登入介面將始終顯示已啟用的憑證。 (PIN 碼、密碼、Windows Hello 臉部辨識等),如果設定了 PIN 碼,Windows 會將其置於前台。

企業如何啟用 FIDO2 登入(以及您在家中可能感興趣的內容)

即使您不打算在課堂上大規模部署 Intune 或 Microsoft Access,了解組織如何實施這些方案也能幫助您理解。 為什麼將電腦關聯到公司或學校帳戶後,電腦會出現某些異常行為? 或者當你的大學借給你一台學校管理的筆記型電腦。

這些組織擁有 各種路徑 若要在 Windows 系統中啟用 FIDO2 金鑰登入:

  • Microsoft Intune在管理中心,依序選擇“裝置”>“註冊裝置”>“Windows 註冊”>“Windows Hello 企業版”,您可以將“使用安全金鑰登入”選項設定為“啟用”。
  • 自訂 Intune 設定文件透過為 Windows 10 或更高版本建立「自訂」類型設定文件,並新增 OMA-URI。 ./Device/Vendor/MSFT/PassportForWork/SecurityKey/UseSecurityKeyForSignin 整數值為 1 時,登入時強制使用 FIDO2。
  • 預配包使用 Windows 設定設計器工具,您可以產生一個 .ppkg 套件來設定該選項。 Windows Hello 企業版 > 安全性金鑰 > 使用安全金鑰登入 已啟用。此軟體包隨後將應用於未由 Intune 管理的裝置。
  • 群組策略 (GPO)在已加入 Microsoft 混合登入的裝置上,「電腦設定」>「管理範本」>「系統」>「登入」下的「啟用安全金鑰登入」政策控制是否允許使用 FIDO2 登入。需要更新範本(最新的 CredentialProviders.admx 檔案)。

對於普通家庭用戶來說,這一切的主要用途在於理解,如果一台筆記型電腦是「從工廠」由你的公司或大學提供的, 它可能已經預先配置好了。 啟用 FIDO2 在鎖定畫面介面登入。反之,在您的個人電腦上,如果沒有 Intune 或 GPO,您將無法看到如此精細的選項來精確控制 FIDO2 如何與您的本機帳戶整合。

進階密碼配置和金鑰模式控制

在專業環境中,FIDO2 金鑰管理遠不止插入金鑰那麼簡單。透過 Microsoft Entra 管理中心和 Microsoft Graph,您可以定義… 非常細緻的政策,規定了允許使用哪些密碼、如何記錄密碼以及接受哪些特定型號的密碼。.

透過在 Microsoft 登入中啟用「安全性金鑰 (FIDO2)」身份驗證方法, 管理員可以:

  • 啟用或停用 FIDO2 的全域使用。
  • 允許或阻止 自助配置 由使用者註冊;如果已停用,則只有管理員才能代表使用者註冊金鑰。
  • 要求 證明這要求 FIDO2 金鑰透過其 AAGUID(認證器證明 GUID)證明它是來自經批准的製造商的合法型號。
  • 申請一個 關鍵限制指令 其中定義了哪些 AAGUID 是允許的或被阻止的(例如,僅限 RSA DS100 金鑰或其他製造商的特定型號)。

在後台,每個 FIDO2 按鍵都有一個類型識別碼。 128 位元 AAGUID 其中包含設備的製造商和型號資訊。這些資訊可以在製造商的文件、微軟的公開清單中找到,或透過查看已註冊該金鑰的使用者的身份驗證方法詳細資訊來獲得。

此外,Microsoft Graph 也公開了一些 API(目前部分功能處於預覽版),允許組織使用它們。 代表使用者提供 FIDO2 金鑰:被請求 創作選項 WebAuthn 透過 CTAP 與金鑰通訊以產生憑證,然後使用 Microsoft Login 記錄退出資訊。這樣可以避免用戶手動執行此過程。

即使您作為家庭用戶不直接接觸這些內容,它們也會間接影響您:由於這些控制措施,許多公司只接受 FIDO2 金鑰已驗證且安全這促進了更強大的設備生態系統的發展,這些設備發生故障或嚴重漏洞的可能性更小。

  使用 Ditto 改進 Windows 11 中的剪貼簿:完整指南

通行金鑰、無密碼未來以及這對家庭 Windows Hello 意味著什麼

除了傳統的實體 FIDO2 按鍵之外,微軟還在大力推廣以下概念: 密碼密鑰是無密碼登入的標準該公司宣布,從 2025 年 5 月起,新建立的 Microsoft 帳戶將預設不使用密碼,而是依靠通行金鑰和生物辨識身分驗證。

這項改變甚至伴隨著象徵性的轉變:先前的「世界密碼日」已更名為 世界密碼日這不僅僅是行銷:自 2015 年 Windows Hello 首次出現在 Surface 裝置上以來,微軟一直在追求一個明確的目標,那就是結束對傳統密碼的依賴。

通行密鑰本質上是 結合非對稱加密和生物特徵認證的安全數位金鑰私鑰仍然保存在您的裝置上(在…中)。 TPM的 或儲存在安全的軟體區域中),公鑰會在每個服務中註冊。登入時,服務會發送一個挑戰,裝置使用私鑰對其進行簽名,伺服器使用公鑰驗證簽名。您的指紋或臉部訊息永遠不會離開裝置。

與傳統密碼相比,通行密鑰具有明顯的優勢:首次嘗試成功率接近 98% 的使用者使用密碼,而使用密碼的使用者比例約為 32%。登入速度提升高達八倍,原生防釣魚功能(僅在正確的網域上有效),並消除在多個網站上重複使用密碼的問題。

在 Windows 11 中,作業系統充當… 密碼管理器 整合式設計。您可以儲存相容服務的金鑰,將其與 Windows Hello(臉部辨識、指紋辨識、PIN 碼)配合使用,並享受 Microsoft 生態系統內跨裝置同步的優勢。這非常適合家庭使用:您只需登入 Microsoft 帳戶,啟動金鑰,之後許多服務就無需再要求輸入密碼。

家庭使用中的使用者體驗、優勢與挑戰

從日常角度來看,結合使用的主要優點在於 Windows Hello、FIDO2 金鑰與密碼 在家庭環境中,其優點在於最大限度地減少輸入次數。臉部辨識、指紋辨識或簡短的本地PIN碼即可取代冗長的字元輸入。 符號 稀有的。

微軟提供的數據非常明確:密碼金鑰提供了一種 首次登入成功率更高 密碼安全至關重要。這意味著更少的錯誤、更少的帳戶鎖定,以及更少的「我忘記密碼了」的情況發生。

對於技術水平較低的用戶、老年人,或者只是不想把事情複雜化的人來說,這是一個非常受歡迎的解決方案。 沒什麼需要記憶的。每隔 X 天更改密碼的荒謬規則已經結束,而且遭受網絡釣魚攻擊的風險也大大降低,因為即使您點擊了虛假鏈接,密碼也無法在該域中使用。

真正的挑戰更多在於實際操作層面:密碼和FIDO2都依賴設備。如果你遺失了存放密碼的手機或筆記型電腦,你就需要… 復原方法和輔助設備 已準備就緒。另外,部分較舊的服務仍不支援 FIDO2,因此在某些情況下您仍需繼續使用傳統密碼。

微軟、FIDO聯盟和其他主要供應商正在努力改進雲端金鑰同步,並向最終用戶普及此模式的工作原理。實際上,每天都會註冊近[缺少數字]個密鑰。 微軟帳戶新增一百萬個密碼這顯示新密碼的使用率明顯上升,不久之後我們將看到傳統密碼的使用量減少。

圍繞著 Windows Hello、FIDO2 金鑰和密碼金鑰的所有這些進展,都在推動我們即使在家庭環境中也能享受這些技術帶來的便利。 安全措施與大型公司非常相似,但沒有那麼複雜。只需點擊幾下即可註冊密鑰或通行密鑰,使用本地 PIN 碼或人臉進行身份驗證,從此告別舊密碼帶來的煩惱。