近期興起大量的網絡詐騙和惡意釣魚網站,稍有不慎就會被騙取密碼,任何人都要對網絡安全多加留神。傳統密碼已不再是保護資料的最好選擇,而完全免費、免密碼、方便快捷的「Passkeys金鑰」在安全性上更勝一籌。目前Passkeys已在大部份主流平台如Google、Whatsapp等通用,即了解Passkeys功能的原理和使用方法!
傳統密碼沒有想像中安全
傳統密碼是保護資料最基本的一道防線,但它的缺點也很明顯︰過於簡單的密碼保護作用不強,過於複雜又非常難記,導致很多人將同一組密碼用在許多不同的地方,然而這亦會削弱密碼的作用。而且,隨著近年釣魚、詐騙等網站愈來愈多,傳統密碼被破解和盜走的機會也愈發增加。
「雙重認證」降低登入便利程度
因應這種情況,近年流行「雙重認證」來提高保護性,即是在登入後,系統會生成一個驗證碼,利用短訊或電郵等方式,讓用戶在第三方帳戶或其他裝置上確認身份。這確實有助提高安全性,但登入時需要做多一個步驟,更涉及額外收費,造成用戶和平台雙方的不便。
而Passkeys(通行密鑰/金鑰)就可以有效解決傳統密碼在安全性和方便度兩方面的問題。
Passkeys可利用螢幕鎖定功能快速解鎖
根據Google的介紹,Passkeys是可以跨裝置使用的身份驗證技術,使用者無需輸入密碼,就可建立並登入線上帳戶。在支援Passkeys功能的網站或應用程式上,瀏覽器或系統會彈出提醒使用者建立Passkeys的提示,用戶只需使用裝置上的螢幕鎖定功能即可登入線上帳戶,無需輸入或記住任何密碼。
Passkeys的優點
- 無須記憶密碼
- 作為「專用私鑰」只儲存於裝置上,可防止釣魚詐騙及資料被盜取、洩漏
- 易於使用,方便快捷
- 登入成功率高
- 免除使用雙重認證的成本
Passkeys的原理
當用戶在iOS 、iPadOS或macOS上註冊帳號時,系統會自動為帳號建立一組高強度「密鑰」,分為公鑰和私鑰,共同進行加密。公鑰資料儲存在伺服器上,而私鑰Passkeys所使用的解密資料(如PIN碼、指紋或臉部識別等)則只會儲存在裝置上,用戶每次登入時,由裝置直接進行身份認證,跳過輸入密碼的步驟。這樣就算伺服器被黑客入侵,他們也無法取得用戶專用的私鑰資料。
避免使用者誤墮陷阱
除此以外,有別於傳統密碼,Passkeys只能在已被創建的服務上使用,因此使用者也不能用Passkeys在其他的網站上解鎖,即可避免被釣魚、登入至惡意網站或應用程式當中,黑客也就無法以這種方式盜取登入資料。如此一來,用戶不用輸入密碼或經過雙重認證,只須利用與螢幕解鎖相同的方法,就可以安全簡便地登入不同帳戶。
泛用性高、可於多個系統上使用
Passkeys已可在大部份的瀏覽器及作業系統上使用,包括:
- Andriod
- Google Chrome
- iOS
- macOS
- Microsoft Edge
- Windows等等
自動同步至不同裝置
當用戶使用手機在一個網站上建立了Passkey後,手機的憑證提供(credential provider)會將其備份並同步至其他裝置。例如,當使用者利用同一個Google帳戶開始設置一部新的Android裝置時,Google的密碼管理員就會把使用者的Passkeys準備妥當,讓他可以在新裝置上使用這些Passkeys。
防止遠端攻擊
未同步的裝置也可透過混合協定(hybrid protocol)使用Passkeys。舉例說,用戶可以使用一部Android手機,透過掃描Passkeys二維碼(QR code)驗證來登入朋友的MacOS電腦上的網站。兩部裝置要在物理上距離夠近、建立裝置之間的連接,才可以使用這個解密方式,以防止遠端網絡攻擊。
在不同系統上啟用Passkeys
目前在Google使用Passkeys的配置需求如下:
- 電腦:Windows 10或macOS Ventura或以上
- 智能手機:iOS 16或Android 9或以上
- 瀏覽器:Google Chrome 109、Safari 16、Edge 109或以上
- 支援FIDO2協議的硬件Passkeys
登入並啟用Passkeys
如上文所述,在用戶建立支援Passkeys的帳戶時,系統就會啟用並生成密鑰。以Google帳戶為例,簡單步驟如下:
- 登入Google帳戶
- 點擊「建立密碼」>確認相關資訊並點擊「繼續」
- 密碼金鑰建立完成
大部份服務皆通行
啟用金鑰後,任何Google服務包括電郵、Google Drive雲端硬碟、Youtube等都可以使用金鑰解鎖。在其他應用程式或APP(如Whatsapp等)上設定Passkeys的流程亦大致上相同,只需在設定中找到私隱或帳戶安全性選項,啟用金鑰功能後,即可輕鬆使用螢幕解鎖的身份認證來登入該帳號。
停用或移除密碼金鑰
若想停止使用Passkeys,同樣是在設定中解除,以Google帳戶的停用步驟為例:
- 登入Google帳戶設定
- 點擊「安全性」>點選「密碼金鑰」
- 編輯刪除密碼金鑰
