前言
在數位時代,我們每天都需要登入各種網站和應用程式。然而,傳統密碼系統已經顯現出許多弱點:密碼外洩、網路釣魚、憑證填充攻擊等問題層出不窮。根據 2024 年的統計,每年有數十億的憑證被盜,即使是符合複雜度要求的密碼也難逃厄運。
為了解決這個問題,Apple、Google 和 Microsoft 等科技巨頭聯手推動了一項革命性的技術:Passkeys。這項技術旨在徹底取代傳統密碼,提供更安全、更便捷的身份驗證方式。
傳統密碼的致命缺陷
為何密碼系統註定失敗?
1. 使用者習慣不佳
- 人們常建立強度不足的密碼
- 在多個網站重複使用相同密碼
- 容易落入網路釣魚陷阱,不慎洩露密碼
- 使用簡單易猜的密碼(如 123456、password)
2. 網站安全性漏洞
- 即使使用者遵循最佳實踐,網站資料庫仍可能遭到入侵
- 被盜的密碼(即使經過雜湊處理)可能在暗網上被販售
- 2024 年的研究顯示,有 2.3 億個被盜密碼符合複雜度要求
3. 靜態資訊的根本缺陷
- 密碼是單一的靜態資訊,一旦被盜,攻擊者就能冒充使用者
- 雖然有 OTP 碼或推播通知等額外保護,但增加了使用麻煩
- 這些額外保護措施並非萬無一失,仍可能被繞過
Passkeys 是什麼?
Passkeys 是一種基於公開金鑰加密技術(public key cryptography)的現代身份驗證方法。它不需要使用者記住任何密碼,而是由裝置為每個帳戶產生並儲存一對獨特的加密金鑰。
核心概念
Passkeys 建立在兩個重要的開放標準之上:
- FIDO2:由 FIDO Alliance 制定的身份驗證標準
- WebAuthn:W3C 的 Web 認證 API 標準
這些標準確保了跨平台的兼容性,讓在 iPhone 上建立的 Passkey 可以在 Windows PC 或 Android 裝置上使用。
Passkeys 的運作原理
1. 金鑰生成階段
當您在支援 Passkey 的網站建立帳戶時:
使用者裝置 伺服器
| |
|--- 註冊請求 ------------->|
| |
|<-- 挑戰(Challenge)------|
| |
| 生成金鑰對: |
| • 私密金鑰(儲存在裝置) |
| • 公開金鑰 |
| |
|--- 公開金鑰 + 簽名 ------->|
| |
| | 儲存公開金鑰
|<-- 註冊成功 --------------|
- 私密金鑰:永遠不會離開您的裝置,儲存在安全硬體中(如 Apple 的 Secure Enclave 或 Windows 的 TPM 晶片)
- 公開金鑰:傳送給伺服器儲存,即使被盜也無法用於登入
2. 登入驗證流程
使用者裝置 伺服器
| |
|--- 登入請求 ------------->|
| |
|<-- 隨機挑戰 --------------|
| |
| 生物識別驗證 |
| (Face ID/指紋) |
| |
| 使用私密金鑰簽名挑戰 |
| |
|--- 簽名後的挑戰 --------->|
| |
| | 使用公開金鑰驗證
|<-- 登入成功 --------------|
3. 關鍵安全特性
- 無共享秘密:伺服器永遠看不到您的私密金鑰
- 防網路釣魚:Passkeys 綁定到特定網域,裝置會自動識別假冒網站
- 生物識別保護:需要 Face ID、Touch ID 或指紋解鎖才能使用
- 每個網站獨立:每個網站都有獨特的金鑰對,一個網站被攻破不會影響其他網站
2024 年採用現況
根據 FIDO Alliance 的最新數據,Passkeys 的採用率在 2024 年呈現爆炸性成長:
採用統計
- 150 億個線上帳戶已支援 Passkeys(比 2023 年成長一倍)
- 550% 增長率:Bitwarden 報告的每日 Passkey 建立數量增長
- 400% 增長率:Dashlane 的 Passkey 驗證次數增長
- 57% 消費者認知度(2022 年僅 39%)
地區差異
亞太地區領先全球採用:
- 中國:80% 採用率
- 印度:70% 採用率
- 日本:62% 採用率
- 新加坡:58% 採用率
- 澳洲:52% 採用率
主要支援企業
截至 2024 年底,超過 200 家主要企業已支援 Passkeys:
科技巨頭:
- Apple(所有 Apple ID)
- Google(Google 帳戶)
- Microsoft(Microsoft 帳戶)
- Meta(WhatsApp)
電子商務:
- Amazon
- eBay
- Walmart
- Target
- Shopify
金融服務:
- PayPal
- Coinbase
- Robinhood
社交媒體與通訊:
- Discord
- TikTok
- X (Twitter)
其他重要服務:
- GitHub
- DocuSign
- 1Password
- Dashlane
- PlayStation
實際應用案例與成效
企業成功案例
日本 Tokyu Corporation
- 45% 的 TOKYU ID 使用者已採用 Passkeys
- 登入速度比密碼 + OTP 快 12 倍
- 大幅提升使用者滿意度
KDDI(日本電信商)
- 超過 1,300 萬 au ID 客戶使用 FIDO
- 客服中心來電減少近 35%
- 顯著降低營運成本
Yahoo! JAPAN
- 2,700 萬活躍 Passkeys 使用者
- 智慧型手機上約 50% 的驗證使用 Passkeys
- 提升整體安全性
VicRoads(澳洲)
- 行動裝置啟用率達 80%
- 整體啟用率超過 50%
- 30% 的登入使用 Passkeys
- 大幅減少支援票證和 SMS OTP 成本
Passkeys 的優勢
1. 卓越的安全性
- 防網路釣魚:裝置會自動識別假冒網站,拒絕在錯誤的網域使用 Passkey
- 防憑證填充:每個網站的金鑰都是獨特的,無法重複使用
- 防資料外洩:即使伺服器被駭,公開金鑰對攻擊者毫無用處
- 硬體級保護:私密金鑰儲存在安全晶片中,極難被提取
2. 使用便利性
- 無需記憶:不用記住任何密碼
- 快速登入:只需 Face ID 或指紋,比輸入密碼快 12 倍
- 跨裝置同步:透過 iCloud、Google 密碼管理工具等安全同步
- 無縫體驗:在不同裝置間順暢切換
3. 企業效益
- 降低支援成本:減少密碼重設請求(降幅可達 35%)
- 提升安全性:大幅降低帳戶被盜風險
- 改善使用者體驗:提高客戶滿意度和留存率
- 符合法規:滿足日益嚴格的安全合規要求
面臨的挑戰與限制
1. 技術挑戰
CVE-2024-9956 漏洞
2024 年發現的重大漏洞,影響所有主要行動瀏覽器:
- 攻擊者在藍牙範圍內可能劫持 Passkey 驗證
- 透過惡意頁面觸發 FIDO:/ URI
- 各大瀏覽器已推出修補程式
實作不一致
- 不同平台的 Passkey 管理方式不同
- 某些服務缺乏適當的通知機制
- 部分網站不允許撤銷已建立的 Passkeys
2. 安全限制
裝置存取風險
- 如果攻擊者獲得裝置的實體存取權限,可能濫用 Passkeys
- 惡意軟體可能在裝置解鎖時濫用私密金鑰
- 同步式 Passkeys 的安全性低於裝置綁定式
帳戶復原問題
- 許多服務仍依賴 SMS 2FA 作為備用方案
- 這些備用方案可能成為安全弱點
- 如果遺失所有裝置且未設定備份,可能無法存取帳戶
3. 採用障礙
普及率問題
- 並非所有網站都支援 Passkeys
- 使用者需同時管理密碼和 Passkeys
- 全球僅 20% 的前 100 大網站支援
使用者習慣
- 人們習慣使用密碼,改變需要時間
- 對較不熟悉科技的使用者來說學習曲線較陡
- 需要教育使用者了解新技術的好處
人際關係風險
Cornell 大學研究指出,在家庭暴力等情境下:
- 攻擊者可能是伴侶、親屬或照護者
- 可能利用社交親近性、脅迫或信任關係
- 需要額外的保護機制
未來展望
短期發展(2025-2026)
- 擴大採用:預計更多主流網站將支援 Passkeys
- 改善使用者體驗:簡化設定和管理流程
- 強化安全性:修補已知漏洞,提升整體安全性
- 標準化:進一步統一跨平台實作
長期願景
- 完全取代密碼:Passkeys 成為預設的身份驗證方式
- 整合新技術:結合 AI 和機器學習提升安全性
- 擴展應用場景:從網路延伸到實體世界(如門禁系統)
- 建立生態系統:形成完整的無密碼身份驗證生態
如何開始使用 Passkeys
步驟 1:檢查裝置支援
確保您的裝置支援 Passkeys:
- iOS/iPadOS:16 或更新版本
- macOS:Ventura 13 或更新版本
- Android:9 或更新版本
- Windows:10 版本 1903 或更新版本
步驟 2:在支援的網站建立 Passkey
- 登入支援 Passkey 的網站(如 Google、Apple ID)
- 前往安全設定
- 選擇「建立 Passkey」或類似選項
- 使用生物識別驗證身份
- 完成設定
步驟 3:管理您的 Passkeys
- Apple 裝置:設定 > 密碼
- Google:passwords.google.com
- Windows:設定 > 帳戶 > 登入選項
- 密碼管理器:1Password、Dashlane 等
給開發者的建議
如果您是網站或應用程式開發者,考慮實作 Passkeys:
實作要點
- 使用標準 API:採用 WebAuthn 和 FIDO2 標準
- 提供備用方案:在過渡期保留傳統登入選項
- 清晰的使用者引導:提供詳細的設定說明
- 安全的帳戶復原:設計安全的備用驗證流程
最佳實踐
- 實作適當的錯誤處理
- 提供撤銷 Passkey 的功能
- 發送建立/撤銷通知
- 定期更新安全措施
結論
Passkeys 代表了身份驗證技術的重大進步。雖然目前仍面臨一些挑戰,但在 Apple、Google、Microsoft 等科技巨頭的推動下,它正快速成為新的標準。
對使用者而言,Passkeys 提供了更安全、更便捷的登入體驗,不再需要記住複雜的密碼,也大幅降低了帳戶被盜的風險。對企業而言,Passkeys 不僅提升了安全性,還能降低支援成本,改善客戶體驗。
隨著越來越多網站和應用程式支援 Passkeys,我們正逐步邁向無密碼的未來。現在正是開始了解和採用這項技術的最佳時機。密碼的時代即將結束,Passkeys 的時代已經來臨。
參考資源
- FIDO Alliance - Passkeys 標準制定組織
- Passkeys.io - 支援 Passkeys 的網站列表
- WebAuthn.io - WebAuthn 測試和示範
- Apple Passkeys - Apple 開發者文件
- Google Passkeys - Google 開發者指南
- Microsoft Passkeys - Microsoft 文件
本文最後更新時間:2025 年 9 月