WebAuthn Passkeys 无密码登录与风险治理（2025）

WebAuthn Passkeys 无密码登录与风险治理（2025）一、注册与绑定注册：使用 `WebAuthn` 调用创建凭据（FIDO2）；绑定用户与设备（生物识别）。元数据：记录设备类型/平台/凭据标识；加密存储。二、登录与风险评估登录：触发 `WebAuthn` 验证；校验挑战与来源。风险评估：设备指纹与地理位置与行为评分；异常触发二次验证（风险评估）。三、隐私与回退隐私：最小数据留存；用户可查看与删除绑定设备。回退：丢失设备时使用备份码/邮件通道；限制风险。四、观测与合规指标：成功率、失败率、风险事件比例；形成仪表盘。合规：满足地区法规与留存策略。注意事项关键词（WebAuthn、Passkeys、FIDO2、生物识别、风险评估）与正文一致。分类为“安全/认证/WebAuthn”，不超过三级。策略需在渗透测试与隐私评审中验证。