前言

在數位時代,我們每天都需要登入各種網站和應用程式。然而,傳統密碼系統已經顯現出許多弱點:密碼外洩、網路釣魚、憑證填充攻擊等問題層出不窮。根據 2024 年的統計,每年有數十億的憑證被盜,即使是符合複雜度要求的密碼也難逃厄運。

為了解決這個問題,Apple、Google 和 Microsoft 等科技巨頭聯手推動了一項革命性的技術:Passkeys。這項技術旨在徹底取代傳統密碼,提供更安全、更便捷的身份驗證方式。

傳統密碼的致命缺陷

為何密碼系統註定失敗?

1. 使用者習慣不佳

  • 人們常建立強度不足的密碼
  • 在多個網站重複使用相同密碼
  • 容易落入網路釣魚陷阱,不慎洩露密碼
  • 使用簡單易猜的密碼(如 123456、password)

2. 網站安全性漏洞

  • 即使使用者遵循最佳實踐,網站資料庫仍可能遭到入侵
  • 被盜的密碼(即使經過雜湊處理)可能在暗網上被販售
  • 2024 年的研究顯示,有 2.3 億個被盜密碼符合複雜度要求

3. 靜態資訊的根本缺陷

  • 密碼是單一的靜態資訊,一旦被盜,攻擊者就能冒充使用者
  • 雖然有 OTP 碼或推播通知等額外保護,但增加了使用麻煩
  • 這些額外保護措施並非萬無一失,仍可能被繞過

Passkeys 是什麼?

Passkeys 是一種基於公開金鑰加密技術(public key cryptography)的現代身份驗證方法。它不需要使用者記住任何密碼,而是由裝置為每個帳戶產生並儲存一對獨特的加密金鑰。

核心概念

Passkeys 建立在兩個重要的開放標準之上:

  • FIDO2:由 FIDO Alliance 制定的身份驗證標準
  • WebAuthn:W3C 的 Web 認證 API 標準

這些標準確保了跨平台的兼容性,讓在 iPhone 上建立的 Passkey 可以在 Windows PC 或 Android 裝置上使用。

Passkeys 的運作原理

1. 金鑰生成階段

當您在支援 Passkey 的網站建立帳戶時:

使用者裝置                     伺服器
    |                           |
    |--- 註冊請求 ------------->|
    |                           |
    |<-- 挑戰(Challenge)------|
    |                           |
    |  生成金鑰對:              |
    |  • 私密金鑰(儲存在裝置)   |
    |  • 公開金鑰                |
    |                           |
    |--- 公開金鑰 + 簽名 ------->|
    |                           |
    |                           | 儲存公開金鑰
    |<-- 註冊成功 --------------|
  • 私密金鑰:永遠不會離開您的裝置,儲存在安全硬體中(如 Apple 的 Secure Enclave 或 Windows 的 TPM 晶片)
  • 公開金鑰:傳送給伺服器儲存,即使被盜也無法用於登入

2. 登入驗證流程

使用者裝置                     伺服器
    |                           |
    |--- 登入請求 ------------->|
    |                           |
    |<-- 隨機挑戰 --------------|
    |                           |
    | 生物識別驗證               |
    | (Face ID/指紋)            |
    |                           |
    | 使用私密金鑰簽名挑戰       |
    |                           |
    |--- 簽名後的挑戰 --------->|
    |                           |
    |                           | 使用公開金鑰驗證
    |<-- 登入成功 --------------|

3. 關鍵安全特性

  1. 無共享秘密:伺服器永遠看不到您的私密金鑰
  2. 防網路釣魚:Passkeys 綁定到特定網域,裝置會自動識別假冒網站
  3. 生物識別保護:需要 Face ID、Touch ID 或指紋解鎖才能使用
  4. 每個網站獨立:每個網站都有獨特的金鑰對,一個網站被攻破不會影響其他網站

2024 年採用現況

根據 FIDO Alliance 的最新數據,Passkeys 的採用率在 2024 年呈現爆炸性成長:

採用統計

  • 150 億個線上帳戶已支援 Passkeys(比 2023 年成長一倍)
  • 550% 增長率:Bitwarden 報告的每日 Passkey 建立數量增長
  • 400% 增長率:Dashlane 的 Passkey 驗證次數增長
  • 57% 消費者認知度(2022 年僅 39%)

地區差異

亞太地區領先全球採用:

  • 中國:80% 採用率
  • 印度:70% 採用率
  • 日本:62% 採用率
  • 新加坡:58% 採用率
  • 澳洲:52% 採用率

主要支援企業

截至 2024 年底,超過 200 家主要企業已支援 Passkeys:

科技巨頭

  • Apple(所有 Apple ID)
  • Google(Google 帳戶)
  • Microsoft(Microsoft 帳戶)
  • Meta(WhatsApp)

電子商務

  • Amazon
  • eBay
  • Walmart
  • Target
  • Shopify

金融服務

  • PayPal
  • Coinbase
  • Robinhood

社交媒體與通訊

  • Discord
  • TikTok
  • X (Twitter)
  • LinkedIn

其他重要服務

  • GitHub
  • DocuSign
  • 1Password
  • Dashlane
  • PlayStation

實際應用案例與成效

企業成功案例

日本 Tokyu Corporation

  • 45% 的 TOKYU ID 使用者已採用 Passkeys
  • 登入速度比密碼 + OTP 快 12 倍
  • 大幅提升使用者滿意度

KDDI(日本電信商)

  • 超過 1,300 萬 au ID 客戶使用 FIDO
  • 客服中心來電減少近 35%
  • 顯著降低營運成本

Yahoo! JAPAN

  • 2,700 萬活躍 Passkeys 使用者
  • 智慧型手機上約 50% 的驗證使用 Passkeys
  • 提升整體安全性

VicRoads(澳洲)

  • 行動裝置啟用率達 80%
  • 整體啟用率超過 50%
  • 30% 的登入使用 Passkeys
  • 大幅減少支援票證和 SMS OTP 成本

Passkeys 的優勢

1. 卓越的安全性

  • 防網路釣魚:裝置會自動識別假冒網站,拒絕在錯誤的網域使用 Passkey
  • 防憑證填充:每個網站的金鑰都是獨特的,無法重複使用
  • 防資料外洩:即使伺服器被駭,公開金鑰對攻擊者毫無用處
  • 硬體級保護:私密金鑰儲存在安全晶片中,極難被提取

2. 使用便利性

  • 無需記憶:不用記住任何密碼
  • 快速登入:只需 Face ID 或指紋,比輸入密碼快 12 倍
  • 跨裝置同步:透過 iCloud、Google 密碼管理工具等安全同步
  • 無縫體驗:在不同裝置間順暢切換

3. 企業效益

  • 降低支援成本:減少密碼重設請求(降幅可達 35%)
  • 提升安全性:大幅降低帳戶被盜風險
  • 改善使用者體驗:提高客戶滿意度和留存率
  • 符合法規:滿足日益嚴格的安全合規要求

面臨的挑戰與限制

1. 技術挑戰

CVE-2024-9956 漏洞

2024 年發現的重大漏洞,影響所有主要行動瀏覽器:

  • 攻擊者在藍牙範圍內可能劫持 Passkey 驗證
  • 透過惡意頁面觸發 FIDO:/ URI
  • 各大瀏覽器已推出修補程式

實作不一致

  • 不同平台的 Passkey 管理方式不同
  • 某些服務缺乏適當的通知機制
  • 部分網站不允許撤銷已建立的 Passkeys

2. 安全限制

裝置存取風險

  • 如果攻擊者獲得裝置的實體存取權限,可能濫用 Passkeys
  • 惡意軟體可能在裝置解鎖時濫用私密金鑰
  • 同步式 Passkeys 的安全性低於裝置綁定式

帳戶復原問題

  • 許多服務仍依賴 SMS 2FA 作為備用方案
  • 這些備用方案可能成為安全弱點
  • 如果遺失所有裝置且未設定備份,可能無法存取帳戶

3. 採用障礙

普及率問題

  • 並非所有網站都支援 Passkeys
  • 使用者需同時管理密碼和 Passkeys
  • 全球僅 20% 的前 100 大網站支援

使用者習慣

  • 人們習慣使用密碼,改變需要時間
  • 對較不熟悉科技的使用者來說學習曲線較陡
  • 需要教育使用者了解新技術的好處

人際關係風險

Cornell 大學研究指出,在家庭暴力等情境下:

  • 攻擊者可能是伴侶、親屬或照護者
  • 可能利用社交親近性、脅迫或信任關係
  • 需要額外的保護機制

未來展望

短期發展(2025-2026)

  1. 擴大採用:預計更多主流網站將支援 Passkeys
  2. 改善使用者體驗:簡化設定和管理流程
  3. 強化安全性:修補已知漏洞,提升整體安全性
  4. 標準化:進一步統一跨平台實作

長期願景

  1. 完全取代密碼:Passkeys 成為預設的身份驗證方式
  2. 整合新技術:結合 AI 和機器學習提升安全性
  3. 擴展應用場景:從網路延伸到實體世界(如門禁系統)
  4. 建立生態系統:形成完整的無密碼身份驗證生態

如何開始使用 Passkeys

步驟 1:檢查裝置支援

確保您的裝置支援 Passkeys:

  • iOS/iPadOS:16 或更新版本
  • macOS:Ventura 13 或更新版本
  • Android:9 或更新版本
  • Windows:10 版本 1903 或更新版本

步驟 2:在支援的網站建立 Passkey

  1. 登入支援 Passkey 的網站(如 Google、Apple ID)
  2. 前往安全設定
  3. 選擇「建立 Passkey」或類似選項
  4. 使用生物識別驗證身份
  5. 完成設定

步驟 3:管理您的 Passkeys

  • Apple 裝置:設定 > 密碼
  • Google:passwords.google.com
  • Windows:設定 > 帳戶 > 登入選項
  • 密碼管理器:1Password、Dashlane 等

給開發者的建議

如果您是網站或應用程式開發者,考慮實作 Passkeys:

實作要點

  1. 使用標準 API:採用 WebAuthn 和 FIDO2 標準
  2. 提供備用方案:在過渡期保留傳統登入選項
  3. 清晰的使用者引導:提供詳細的設定說明
  4. 安全的帳戶復原:設計安全的備用驗證流程

最佳實踐

  • 實作適當的錯誤處理
  • 提供撤銷 Passkey 的功能
  • 發送建立/撤銷通知
  • 定期更新安全措施

結論

Passkeys 代表了身份驗證技術的重大進步。雖然目前仍面臨一些挑戰,但在 Apple、Google、Microsoft 等科技巨頭的推動下,它正快速成為新的標準。

對使用者而言,Passkeys 提供了更安全、更便捷的登入體驗,不再需要記住複雜的密碼,也大幅降低了帳戶被盜的風險。對企業而言,Passkeys 不僅提升了安全性,還能降低支援成本,改善客戶體驗。

隨著越來越多網站和應用程式支援 Passkeys,我們正逐步邁向無密碼的未來。現在正是開始了解和採用這項技術的最佳時機。密碼的時代即將結束,Passkeys 的時代已經來臨。

參考資源


本文最後更新時間:2025 年 9 月