深入了解 Passkeys:告別密碼時代的新型身份驗證技術

前言 在數位時代,我們每天都需要登入各種網站和應用程式。然而,傳統密碼系統已經顯現出許多弱點:密碼外洩、網路釣魚、憑證填充攻擊等問題層出不窮。根據 2024 年的統計,每年有數十億的憑證被盜,即使是符合複雜度要求的密碼也難逃厄運。 為了解決這個問題,Apple、Google 和 Microsoft 等科技巨頭聯手推動了一項革命性的技術:Passkeys。這項技術旨在徹底取代傳統密碼,提供更安全、更便捷的身份驗證方式。 傳統密碼的致命缺陷 為何密碼系統註定失敗? 1. 使用者習慣不佳 人們常建立強度不足的密碼 在多個網站重複使用相同密碼 容易落入網路釣魚陷阱,不慎洩露密碼 使用簡單易猜的密碼(如 123456、password) 2. 網站安全性漏洞 即使使用者遵循最佳實踐,網站資料庫仍可能遭到入侵 被盜的密碼(即使經過雜湊處理)可能在暗網上被販售 2024 年的研究顯示,有 2.3 億個被盜密碼符合複雜度要求 3. 靜態資訊的根本缺陷 密碼是單一的靜態資訊,一旦被盜,攻擊者就能冒充使用者 雖然有 OTP 碼或推播通知等額外保護,但增加了使用麻煩 這些額外保護措施並非萬無一失,仍可能被繞過 Passkeys 是什麼? Passkeys 是一種基於公開金鑰加密技術(public key cryptography)的現代身份驗證方法。它不需要使用者記住任何密碼,而是由裝置為每個帳戶產生並儲存一對獨特的加密金鑰。 核心概念 Passkeys 建立在兩個重要的開放標準之上: FIDO2:由 FIDO Alliance 制定的身份驗證標準 WebAuthn:W3C 的 Web 認證 API 標準 這些標準確保了跨平台的兼容性,讓在 iPhone 上建立的 Passkey 可以在 Windows PC 或 Android 裝置上使用。 Passkeys 的運作原理 1. 金鑰生成階段 當您在支援 Passkey 的網站建立帳戶時: 使用者裝置 伺服器 | | |--- 註冊請求 ------------->| | | |<-- 挑戰(Challenge)------| | | | 生成金鑰對: | | • 私密金鑰(儲存在裝置) | | • 公開金鑰 | | | |--- 公開金鑰 + 簽名 ------->| | | | | 儲存公開金鑰 |<-- 註冊成功 --------------| 私密金鑰:永遠不會離開您的裝置,儲存在安全硬體中(如 Apple 的 Secure Enclave 或 Windows 的 TPM 晶片) 公開金鑰:傳送給伺服器儲存,即使被盜也無法用於登入 2. 登入驗證流程 使用者裝置 伺服器 | | |--- 登入請求 ------------->| | | |<-- 隨機挑戰 --------------| | | | 生物識別驗證 | | (Face ID/指紋) | | | | 使用私密金鑰簽名挑戰 | | | |--- 簽名後的挑戰 --------->| | | | | 使用公開金鑰驗證 |<-- 登入成功 --------------| 3. 關鍵安全特性 無共享秘密:伺服器永遠看不到您的私密金鑰 防網路釣魚:Passkeys 綁定到特定網域,裝置會自動識別假冒網站 生物識別保護:需要 Face ID、Touch ID 或指紋解鎖才能使用 每個網站獨立:每個網站都有獨特的金鑰對,一個網站被攻破不會影響其他網站 2024 年採用現況 根據 FIDO Alliance 的最新數據,Passkeys 的採用率在 2024 年呈現爆炸性成長: ...

2025年8月2日 · 3 min · 514 words · Jack