Breez SDK 推出支持无种子比特币钱包的通行密钥登录功能

Breez，一家闪电网络服务提供商和比特币软件实验室，已在其Breez SDK中引入Passkey登录功能。该功能允许开发者构建使用Passkey进行身份验证和密钥派生的自托管钱包，免去了在正常使用中传统的种子短语要求。

支持种子短语的功能仍然可用，保持与行业标准的向后兼容性，但移除了比特币钱包中的“速度障碍”，即提示用户备份12个字的提示。

Breez在向《比特币杂志》分享的新闻稿中解释了这一新功能的设计理念：“种子短语从一开始就是自托管的障碍。它让普通用户害怕自己管理比特币，也正是因为这个原因，人们才会接受交易所和托管应用的对手方风险。”他补充说：“Passkey登录并不消除自托管的权衡，但它将这些权衡重新框架在用户已经理解和使用的东西上，即保护他们银行应用和密码管理器的生物识别认证。对大多数用户来说，这比抽屉里的纸片要直观得多的安全模型。”

Passkeys：现代硬件中的每站点密钥对

Passkeys——一种相对较新的安全标准，正在广泛应用于线上——是基于FIDO2 WebAuthn标准的加密凭证，自2022年以来由苹果、谷歌、微软和FIDO联盟共同推广。每个Passkey由为特定网站或应用生成的唯一公私钥对组成。

私钥存储在用户设备的安全元件或类似硬件中，例如苹果的Secure Enclave、Android的Titan芯片、Windows的TPM、外部安全密钥如YubiKey或用户的密码管理器。

普通的线上Passkeys类似于中本聪早期比特币客户端引入的wallet.dat文件，私钥存储在用户设备本地，而公钥则与第三方共享。

然而，FIDO2标准以更标准化和现代的方式实现了这一私钥-公钥的概念。网站向用户发送挑战，引用该账户已知的公钥。用户用私钥签名挑战信息，以隐私保护的方式验证身份。每个服务为同一用户生成不同的公钥，因此在一个网站上泄露的数据不会泄露出可以访问其他网站的数据，也不包含任何用户识别信息。

FIDO2现已被广泛采用，利用设备的安全元件，集成密码管理器（如iCloud钥匙串、Google密码管理器）、浏览器和W3C WebAuthn API。认证通过挑战-响应签名进行，私钥绑定到域名，以抵抗钓鱼攻击。

Passkeys支持生物识别解锁（Face ID、指纹、PIN）并在生态系统内设备间同步（如通过iCloud或Google）——据FIDO联盟报告，截至2025年中，已激活超过十亿次，支持主要平台和众多顶级网站。

FIDO2对比特币钱包来说还不够好

标准的Passkeys在身份验证（向服务证明身份）方面表现出色，但缺少现代比特币行业所需的关键功能。

比特币自托管通常依赖单一的熵源（种子短语）以确定性方式生成所有地址和密钥，遵循如BIP-39等标准。用户期望这12个字就足以恢复比特币钱包中的所有余额和账户。Passkey标准需要扩展以支持这一用例。

Breez的解决方案：利用PRF扩展

Breez通过在WebAuthn Level 3中使用伪随机函数（PRF）扩展来解决这一问题。PRF使得Passkey在认证过程中可以为任何输入生成确定性的加密输出。

正如Breez在公告中所述：“这就是WebAuthn的PRF扩展所解决的问题，也是Passkey登录的关键所在。PRF是WebAuthn Level 3规范中的一项新功能，它允许你的Passkey为任何给定输入生成确定性的加密输出。相同的Passkey、相同的输入、相同的输出。始终如此。Passkey永远不会离开你的设备的安全 enclave。”

设备丢失与恢复

如果设备丢失，恢复取决于存储Passkey的平台。通过iCloud钥匙串、Google密码管理器等同步的Passkeys，在重新获得相关账户访问权限后，可以在新设备上恢复。

Breez提供一种可选的向后兼容路径：用户可以导出普通的12字BIP-39助记词，以便在其他比特币钱包中恢复账户，遵循行业标准。新闻稿补充说：“Passkeys目前还不能完全跨平台互操作。如果你需要迁移到不支持Passkeys的平台或钱包，你可以使用标准的种子短语作为备份。”

Passkey登录的完整技术规范是公开的，名为Glow的参考应用已实现该功能。Breez将此视为迈向让比特币自托管更易用的一步，通过与银行和密码管理器中常用的生物识别认证保持一致，同时保持非托管控制。集成Breez SDK的开发者现在可以在支持的环境中提供无需“写下这些字”的入门流程。

Passkey登录的完整技术规范已公开，我们的参考应用Glow已在运行，现已面向所有Breez SDK开发者开放使用。