近日,一则关于Windows Hello KeyCredentialManager(密钥凭据管理器)隔离机制的提问在技术社区引发热议:该组件究竟是按应用程序隔离凭据,还是仅按Windows用户账户进行隔离?这一看似基础的技术细节,实则关系到企业级安全策略、多应用身份验证体系以及用户隐私保护的底层逻辑。

背景:KeyCredentialManager是什么?

KeyCredentialManager是Windows Hello生物识别身份验证体系的核心组件之一,负责管理用户绑定的密钥对(如PIN、指纹、面部识别对应的私钥)以及平台凭据。它通过Windows Hello for Business(WHfB)为企业级用户提供无密码登录、单点登录(SSO)和FIDO2标准支持。在普通消费者场景中,它同样支撑着Microsoft账户、Edge浏览器密码管理器以及第三方应用(如密码管理器、金融App)的本地安全存储。

问题的核心在于:当用户在同一Windows账户下运行多个应用程序(如两个电子银行客户端、或不同密码管理软件)时,这些应用能否读取到彼此的密钥凭据?如果隔离机制只到用户级别,那么一个恶意应用就可能窃取同一用户下其他应用的密钥。

微软官方文档的答案

根据微软Docs中关于KeyCredentialManager API的描述,实际上采取了“双层隔离”设计:

  1. 按用户隔离:每个Windows用户账户拥有独立的密钥容器,不同用户(如标准用户vs管理员、不同家庭账户)之间的凭据完全不可见。这是最基础的隔离边界。

  2. 按应用隔离(基于进程身份):在同一用户下,KeyCredentialManager为每个调用的应用程序分配唯一的“密钥存储句柄”(Key Storage Handle)。该句柄由Windows验证进程的完整性、签名证书及安全标识符(SID)后生成。不同应用程序(以可执行文件的数字签名或Apps运行时的Package Family Name区分)无法访问彼此创建的密钥条目,除非是经过授权的父子进程或同一套件内的组件。

这意味着:例如,用户使用Chrome浏览器保存了银行网站的FIDO2凭据,随后在Edge浏览器中访问同一银行网站,Edge无法直接读取Chrome存储的密钥;用户必须重新注册。同样,两款不同的密码管理App——如1Password和Bitwarden——在本地存储时,KeyCredentialManager会为它们分配独立的密钥槽。

实际案例中的例外与细节

然而,隔离并非绝对。以下场景会出现交叉访问:

  • 同款应用的不同版本:如果同一个软件(如Microsoft Authenticator)进行了更新,新的可执行文件如果携带相同的签名证书,则被允许访问旧版本创建的凭据。这是为了保障应用升级的连续性。
  • 企业管理的设备:在加入Azure AD或配置了MDM策略的Windows设备中,管理员可以通过配置组策略,允许某些受信任的应用(如企业门户)访问其他应用的凭据,以实现SSO功能。这实际上是在按用户隔离基础上开放了特定应用间的共享通道。
  • 系统权限提升:如果某个恶意程序通过漏洞获得了SYSTEM权限,它可以绕过KeyCredentialManager的进程检查,直接读取整个用户的密钥容器。不过,Windows Hello的密钥采用硬件隔离(TPM)保护,即使进程级读取也需要解密,但理论攻击面仍然存在。

安全研究员与社区讨论

知名安全研究员Alex Ionescu曾在其博客指出,KeyCredentialManager的设计比Win32 API时代的CryptProtectData(CPD)更为精细。CPD默认只按用户隔离,而新API则引入了AppContainer级别的隔离,类似于UWP应用的沙箱机制。但值得注意的是,对于传统的Win32桌面应用(大多数银行客户端、密码管理器),如果开发者没有显式使用KeyCredentialManager API,而是采用传统的Windows凭据保管库(Credential Manager),则隔离仅到用户级别。这正是许多安全事件的根源——用户为不同网站保存的密码被存储在同一个凭据文件中。

微软在Windows 10 1809版本后,逐步推动用KeyCredentialManager替代旧凭据保管库,但迁移进度不一。截至2025年,仍有大量针对Win32应用的安全检测报告显示,部分老版本金融App仍在调用传统的CredWrite/ CredRead函数,从而绕过了按应用隔离的保护。

结论:对用户意味着什么?

总结而言,KeyCredentialManager的隔离机制是“用户级为基础,应用级为增强”。对于严格遵循Windows Hello最佳实践的现代应用(特别是UWP、WinUI 3以及采用WHfB API的密码管理器),每个应用拥有独立的密钥空间,恶意软件无法跨应用窃取凭据。但用户需注意两点:

  1. 避免使用未更新至新API的老旧软件;
  2. 在共享或办公电脑中,不同用户账号即是最基本的安全边界——即便安装了同一款App,也因账户隔离而互不干扰。

微软官方也强调,企业应通过配置Windows Hello for Business并结合Conditional Access策略,实现真正的“零信任”凭据管理。而普通消费者若要彻底放心,最简单的方法是:为不同敏感应用使用独立的Windows用户账户,或在支持Windows Hello的硬件如Surface Secure访问模块上启用双重认证。

这一问题的答案,既在微软文档中清晰写明,又在实际生态中留有灰色地带。对于追求极致的IT管理员和用户,深入理解这层隔离机制,正是加固数字大门的第一步。