实现无屏解锁,Meta为XR推出跨设备通行密钥认证方案
跨设备通行密钥认证方案
(映维网Nweon 2026年02月05日)如果设备没有屏幕,二维码无处可扫,传统密码又脆弱繁琐,我们应该如何安全登录? Meta提出了一种创新方法,允许XR等不具备可访问显示屏的设备能够实现跨设备通行密钥认证。所述方法绕过了二维码的使用,无需设备自带显示屏即可完成跨设备认证,同时依然满足所有信任度与近距离验证的要求。
团队表示:“这一方案基于FIDO联盟已完成的工作构建,我们希望它能开启一扇大门,将安全、无密码的认证方式引入一个全新的设备与平台生态系统。”
通行密钥是身份验证领域的一次重大飞跃,它提供了一种抗钓鱼攻击、具备密码学安全性的替代方案,以取代传统密码。通常情况下,标准的跨设备通行密钥流程——即用户通过在附近的移动设备上批准操作,以在桌面设备上完成注册或认证——是通过手机摄像头扫描二维码的熟悉方式来完成的。但是,我们如何为配备头戴式显示器或根本没有屏幕的XR设备实现这一流程呢?
针对这类要么完全没有屏幕,要么其屏幕不易被另一台设备的摄像头访问的特殊设备,Meta采用了一种新颖的方法来调整WebAuthn通行密钥流程和FIDO的CTAP混合协议。所述实现方案已经开发完成,目前已在搭载Meta Horizon OS的Meta Quest设备广泛可用。
挑战:无屏幕,无二维码
标准的跨设备流程依赖于两种主要机制:
二维码扫描:依赖方在桌面设备/无法访问的设备上显示二维码,移动认证器通过扫描该二维码来建立安全链接。
蓝牙/NFC近距离通信:设备使用本地通信协议相互发现并启动安全交换。
对于没有显示屏的设备,二维码方法无法实现。基于近距离的发现机制是可行的,但在没有任何设备端视觉反馈的情况下启动用户验证步骤并确认意图,可能会引入安全性和可用性风险。用户需要明确的保证,确认他们是在正确的设备上批准正确的交易。
Meta的解决方案:使用配套应用进行安全消息传输
扫描二维码会向认证器设备发送一个命令,以启动一个混合(跨设备)登录流程,并附带一个用于标识未经认证的设备客户端的随机数。但如果用户拥有一个配套应用程序(例如Meta Horizon应用),且应用使用与设备相同的账户,我们就可以利用应用将此相同请求传递给认证器操作系统,并通过通用链接/意图执行来执行它。
可以通过应用内通知向用户显示登录请求已发起,并直接引导用户进入应用,立即执行登录请求,从而使流程易于导航。
为了简化操作,团队选择在应用程序打开时立即开始混合流程,因为用户需要采取特定操作(点击通知或打开应用程序)来触发流程,并且在iOS和Android的混合实现中有一个额外的用户验证步骤。
以下是在配备Meta Horizon移动应用的Meta Quest设备上该流程的具体运作方式:
生成混合流程消息:当在Meta Quest发起通行密钥登录时,头戴设备的浏览器会在本地构建原本应嵌入二维码的相同负载——包括一个新的ECDH公钥、一个特定于会话的密钥以及后续握手过程中使用的路由信息。浏览器不是将此信息渲染成图像(二维码),而是将其编码为一个FIDO URL(为标准定义的混合传输机制),以指示移动设备开始通行密钥认证流程。
消息发送至配套应用:FIDO URL生成后,头戴设备需要一个安全且确定性的方法将其传输到用户的手机。由于设备无法显示二维码,系统利用Meta Horizon应用经过身份验证的推送通道,将FIDO URL直接发送到移动设备。当用户在登录对话框中选择通行密钥选项时,头戴设备将FIDO URL编码为基于GraphQL的推送通知中的结构化数据。使用与头戴设备相同账户登录的Meta Horizon应用接收到此负载,并验证传递上下文以确保其路由到正确的用户。
应用发送登录请求通知:FIDO URL发送到移动设备后,平台的推送服务将其显示为标准iOS或Android通知,提示有登录请求待处理。当用户点击通知时,操作系统将深度链接路由到Meta Horizon应用。然后,应用使用系统URL启动器打开FIDO URL,并调用操作系统通行密钥接口。对于已关闭或禁用通知的用户,直接启动Meta Horizon应用也会触发向后端查询与该用户账户关联的任何待处理通行密钥请求。如果存在有效请求(请求在五分钟后过期),应用程序将通过打开FIDO URL自动启动相同的通行密钥流程。一旦FIDO URL被打开,移动设备就开始混合传输序列,包括广播BLE广告、建立加密隧道以及生成通行密钥断言。在此流程中,系统通知和应用程序启动路径都充当了用户同意界面和进入标准混合传输工作流的入口点。
应用执行混合命令:一旦用户在移动设备上批准该操作,安全通道将按照WebAuthn标准建立。主要区别在于挑战交换的时机:
无法访问的设备生成标准的WebAuthn挑战并等待。
移动认证器启动安全的BLE/NFC连接。
挑战通过此安全通道传输。
用户验证成功后,移动设备使用相关的密钥材料生成AuthenticatorAssertionResponse或AuthenticatorAttestationResponse。
响应被发送回无法访问的设备。
然后,该无法访问的设备充当管道,将响应转发给依赖方服务器以完成交易,这与标准的配备显示屏的设备完全一样。
影响与未来方向
Meta表示:“这一创新实现成功绕过了跨设备流程中对设备端显示屏的需求,同时依然符合当前跨设备通行密钥登录所面临的近距离验证和其他信任挑战的要求。我们希望我们的解决方案能为更广泛的不同平台和生态系统实现安全、无密码的认证铺平道路,使通行密钥超越仅限移动和桌面环境,进入可穿戴设备和物联网设备蓬勃发展的世界。”
