近期興起大量的網絡詐騙和惡意釣魚網站,稍有不慎就會被騙取密碼,任何人都要對網絡安全多加留神。傳統密碼已不再是保護資料的最好選擇,而完全免費、免密碼、方便快捷的「Passkeys金鑰」在安全性上更勝一籌。目前Passkeys已在大部份主流平台如Google、Whatsapp等通用,即了解Passkeys功能的原理和使用方法!

傳統密碼沒有想像中安全

傳統密碼是保護資料最基本的一道防線,但它的缺點也很明顯︰過於簡單的密碼保護作用不強,過於複雜又非常難記,導致很多人將同一組密碼用在許多不同的地方,然而這亦會削弱密碼的作用。而且,隨著近年釣魚、詐騙等網站愈來愈多,傳統密碼被破解和盜走的機會也愈發增加。

「雙重認證」降低登入便利程度

因應這種情況,近年流行「雙重認證」來提高保護性,即是在登入後,系統會生成一個驗證碼,利用短訊或電郵等方式,讓用戶在第三方帳戶或其他裝置上確認身份。這確實有助提高安全性,但登入時需要做多一個步驟,更涉及額外收費,造成用戶和平台雙方的不便。

Passkeys(通行密鑰/金鑰)就可以有效解決傳統密碼在安全性和方便度兩方面的問題。

Passkeys可利用螢幕鎖定功能快速解鎖

根據Google的介紹,Passkeys是可以跨裝置使用的身份驗證技術,使用者無需輸入密碼,就可建立並登入線上帳戶。在支援Passkeys功能的網站或應用程式上,瀏覽器或系統會彈出提醒使用者建立Passkeys的提示,用戶只需使用裝置上的螢幕鎖定功能即可登入線上帳戶,無需輸入或記住任何密碼。

Passkeys的優點

  • 無須記憶密碼
  • 作為「專用私鑰」只儲存於裝置上,可防止釣魚詐騙及資料被盜取、洩漏
  • 易於使用,方便快捷
  • 登入成功率高
  • 免除使用雙重認證的成本

Passkeys的原理

當用戶在iOS 、iPadOS或macOS上註冊帳號時,系統會自動為帳號建立一組高強度「密鑰」,分為公鑰和私鑰,共同進行加密。公鑰資料儲存在伺服器上,而私鑰Passkeys所使用的解密資料(如PIN碼、指紋或臉部識別等)則只會儲存在裝置上,用戶每次登入時,由裝置直接進行身份認證,跳過輸入密碼的步驟。這樣就算伺服器被黑客入侵,他們也無法取得用戶專用的私鑰資料。

避免使用者誤墮陷阱

除此以外,有別於傳統密碼,Passkeys只能在已被創建的服務上使用,因此使用者也不能用Passkeys在其他的網站上解鎖,即可避免被釣魚、登入至惡意網站或應用程式當中,黑客也就無法以這種方式盜取登入資料。如此一來,用戶不用輸入密碼或經過雙重認證,只須利用與螢幕解鎖相同的方法,就可以安全簡便地登入不同帳戶。

泛用性高、可於多個系統上使用

Passkeys已可在大部份的瀏覽器及作業系統上使用,包括:

  • Andriod
  • Google Chrome
  • iOS
  • macOS
  • Microsoft Edge
  • Windows等等

自動同步至不同裝置

當用戶使用手機在一個網站上建立了Passkey後,手機的憑證提供(credential provider)會將其備份並同步至其他裝置。例如,當使用者利用同一個Google帳戶開始設置一部新的Android裝置時,Google的密碼管理員就會把使用者的Passkeys準備妥當,讓他可以在新裝置上使用這些Passkeys。

防止遠端攻擊

未同步的裝置也可透過混合協定(hybrid protocol)使用Passkeys。舉例說,用戶可以使用一部Android手機,透過掃描Passkeys二維碼(QR code)驗證來登入朋友的MacOS電腦上的網站。兩部裝置要在物理上距離夠近、建立裝置之間的連接,才可以使用這個解密方式,以防止遠端網絡攻擊。

在不同系統上啟用Passkeys

目前在Google使用Passkeys的配置需求如下:

  • 電腦:Windows 10或macOS Ventura或以上
  • 智能手機:iOS 16或Android 9或以上
  • 瀏覽器:Google Chrome 109、Safari 16、Edge 109或以上
  • 支援FIDO2協議的硬件Passkeys

登入並啟用Passkeys

如上文所述,在用戶建立支援Passkeys的帳戶時,系統就會啟用並生成密鑰。以Google帳戶為例,簡單步驟如下:

  1. 登入Google帳戶
  2. 點擊「建立密碼」>確認相關資訊並點擊「繼續」
  3. 密碼金鑰建立完成

大部份服務皆通行

啟用金鑰後,任何Google服務包括電郵、Google Drive雲端硬碟、Youtube等都可以使用金鑰解鎖。在其他應用程式或APP(如Whatsapp等)上設定Passkeys的流程亦大致上相同,只需在設定中找到私隱或帳戶安全性選項,啟用金鑰功能後,即可輕鬆使用螢幕解鎖的身份認證來登入該帳號。

停用或移除密碼金鑰

若想停止使用Passkeys,同樣是在設定中解除,以Google帳戶的停用步驟為例:

  1. 登入Google帳戶設定
  2. 點擊「安全性」>點選「密碼金鑰」
  3. 編輯刪除密碼金鑰

按此免費訂閱《香港財經時報》HKBT 新聞快訊

更多網絡安全相關文章