闪电网络服务提供商和比特币软件实验室Breez已在其 Breez SDK 中引入了Passkey 登录功能。该功能允许开发者构建使用 Passkey 进行身份验证和密钥派生的自托管钱包，从而无需在正常使用过程中使用传统的助记词。 

对于喜欢使用助记词的用户，比特币钱包仍然提供助记词支持，保持与行业标准的向后兼容性，同时消除了比特币钱包中的“速度障碍”，即提示用户备份其 12 个单词。 

Breez 在一份发给《比特币杂志》的新闻稿中解释了这项新功能背后的逻辑：“助记词从一开始就是用户自主保管比特币的一大障碍。正是它让普通用户望而却步，不敢自己保管比特币，这也是人们愿意接受交易所和托管应用程序的交易对手风险的合理原因。” 他补充道：“Passkey 登录并不能消除自主保管比特币的利弊，但它将这些利弊重新构建到用户已经理解和使用的技术之上，即与保护银行应用程序和密码管理器相同的生物识别认证。对大多数用户来说，这比把一张纸放在抽屉里要直观得多。”

通行密钥：现代硬件中的单站点密钥对

Passkey 是一种相对较新的安全标准，目前正被广泛采用于网络环境中。它是一种基于 FIDO2 WebAuthn 标准的加密凭证，该标准由苹果、谷歌、微软和 FIDO 联盟自 2022 年起联合推广。每个 Passkey 都包含一个针对特定网站或应用程序生成的唯一公钥/私钥对。

私钥则存储在用户设备的安全元件或类似硬件中，例如苹果的安全隔离区 (Secure Enclave)、安卓的 Titan 芯片、Windows 的 TPM、YubiKey 等外部安全密钥，或者用户的密码管理器中。 

普通的在线 Passkey 类似于中本聪在其早期比特币客户端版本中引入的原始 Bitcoin wallet.dat 文件，其中私钥存储在用户设备本地，而公钥与第三方共享。 

然而，FIDO2 标准以更标准化、更现代的方式实现了公钥/私钥机制。网站会向用户发送一个挑战消息，其中包含用户该账户的已知公钥。该挑战消息由用户的私钥签名，从而以保护隐私的方式验证用户身份。每个服务都会为同一用户分配一个不同的公钥，因此，即使某个网站上的数据遭到泄露，也不会导致可用于访问其他网站的数据泄露，也不会包含任何用户身份信息。

FIDO2 现已被广泛采用，它利用设备安全元件，并与密码管理器（例如 iCloud 钥匙串、Google 密码管理器）、浏览器以及万维网联盟 (W3C) WebAuthn API 集成。身份验证通过质询-响应签名实现，私钥与域绑定以防止网络钓鱼。

Passkeys 支持生物识别解锁（面容 ID、指纹、PIN 码），并可在生态系统内的设备间同步（例如通过 iCloud 或 Google）——据 FIDO 联盟报告，截至 2025 年年中，激活次数已超过 10 亿次，并得到主要平台和许多顶级网站的支持。

FIDO2 对于比特币钱包来说还不够好

标准通行密钥在身份验证（向服务证明身份）方面表现出色，但缺少现代比特币行业所需的关键功能。 

比特币自保通常依赖于单一的熵源（助记词）来确定性地生成所有地址和密钥，例如通过 BIP-39 等标准。用户期望仅凭这 12 个单词就足以恢复比特币钱包中的所有余额和账户。Passkey 标准需要扩展以支持这种使用场景。 

Breez 的解决方案：利用 PRF 扩展

Breez 通过使用WebAuthn Level 3 中的伪随机函数 (PRF) 扩展来解决这个问题。PRF 使通行密钥能够在身份验证期间为任何给定的输入生成确定性的加密输出。 

正如 Breez 的公告材料中所述，“WebAuthn 的 PRF 扩展正是为了解决这个问题而开发的，它是密码登录的关键所在。PRF 是一项较新的功能，属于 WebAuthn Level 3 规范的一部分，它允许您的密码密钥针对任何给定的输入生成确定性的加密输出。相同的密码密钥，相同的输入，相同的输出。始终如此。密码密钥永远不会离开您设备的安全区域。”

设备丢失与恢复

如果设备丢失，恢复方式取决于存储密码的平台。已同步的密码（例如通过 iCloud 钥匙串、Google 密码管理器等）在重新获得关联帐户访问权限后，即可在新设备上恢复。 

Breez 提供了一种可选的向后兼容方案：用户可以导出标准的 12 字 BIP-39 助记词，以便按照行业标准在其他比特币钱包中恢复账户。新闻稿还补充道：“Passkey 目前尚未完全跨平台兼容。如果您需要迁移到不支持 Passkey 的平台或钱包，您可以使用标准的助记词作为备用方案。”

Passkey Login 的完整技术规范已公开，名为 Glow 的参考应用演示了该功能。Breez 将此举定位为使比特币自托管更易于实现的一步，它与银行和密码管理器中常用的生物识别认证方式相契合，同时保留了非托管控制权。集成 Breez SDK 的开发者现在可以在支持的环境中提供无需传统“写下这些密码”步骤的注册流程。

Passkey Login 的完整技术规范已公开，我们的参考应用程序Glow已经运行了它，现在所有 Breez SDK 开发人员都可以使用它。