在網際網路上,我們普遍透過密碼來管理、保護我們的個人資料,但是無論密碼再怎麼複雜、再怎麼加密,都還是有可能因為疏忽遭到外流,甚至破解。
近幾年,包含 Apple、Google…等大廠都在推動無密碼的 PassKey 計畫,透過生物辨識的方式取代密碼的輸入、傳輸、驗證。
那麼這個 PassKey 到底是什麼?是利用什麼原理來達成無密碼還可以驗證的效果?又該如何使用?
什麼是無密碼驗證 PassKey?
PassKey 是一種新型的安全驗證方法,使用 PassKey 的驗證方式,就不需要再使用傳統的文字密碼。
當你使用 PassKey 註冊或登錄網站時,你的裝置會產生一組專屬的密鑰,這組密鑰非常安全,只有你的裝置知道。
當你嘗試登錄到使用 PassKey 的網站時,你的裝置會使用這組密鑰進行驗證,而不是傳統的文字密碼。
PassKey 的驗證原理是什麼?要如何使用?
講原理的這一段可能會有一點點的生硬,大家可以斟酌看看是不是要跳過。
PassKey 的運作原理
當我們談論 PassKey 的「密鑰」通常包括一對公鑰和私鑰:
公鑰:這是可以公開的部分。公鑰在建立後會被傳送到伺服器或其他需要驗證身份的地方。即使公鑰被其他人知道,也無法使用公鑰來假冒你的身份。
私鑰:這是保留在裝置上的部分,在安全保護的情況下不會外洩。私鑰用來生成一個數位簽章,這個簽章在需要驗證時可以使用公鑰進行驗證,而且只有擁有私鑰的人才能生成有效的數位簽章。
在 PassKey 或類似的技術中,私鑰通常存在裝置的安全元件中,例如 Apple 的 Secure Enclave 或 Android 的 Trusted Execution Environment。
這些元件專為保護敏感數據而設計,並提供了硬體級別的安全性,使得私鑰即使在裝置被駭的情況下也難以被取得。
PassKey 的使用方式
大概瞭解了公鑰與私鑰概念後,我們就可以來看看 PassKey 是如何運作的。不過目前 PassKey 只能說是開始漸漸被推廣的技術,但還不是很全面到每個地方都可以用。
在這之前要知道,當你要使用 Passkey 驗證身份的時候,需要搭配具有生物辨識驗證功能(例如 Face ID、Touch ID)的裝置,通過生物驗證功能後,才可以取用存在裝置裡面的私鑰。
以不久前推出 PassKey 的 Google 為例,你可以先在帳號內設定要使用 PassKey,當你需要登入 Google 帳號的時候,透過 Face ID、Touch ID 做驗證後,就能夠以比較安全、無需使用密碼的 PassKey 方式登入你的 Google 帳號。
你可能會覺得整個過程和你用 Face ID 或 Touch ID 登入好像沒什麼差別,也確實是這樣沒錯,但是背後的原理其實和過去是不一樣的,而且如果仔細觀察,輸入密碼的欄位也不會出現。
其他像是 1Password 這類支援 PassKey 的驗證方式也是相同的原理。
PassKey 可以在不同裝置上使用嗎?
PassKey 的使用上除了是「無密碼」以外,還是「不可跨裝置」。
上面有提到,Passkey 會生成一個公鑰和私鑰,公鑰存在伺服器上,私鑰存在你自己的裝置上,所以當我用 iPhone 註冊 Google 的帳號時,就會在我的 iPhone 上生成一組私鑰,然後再 Google 的伺服器生成一組公鑰。
而我手機上的這組私鑰「絕對」只會出現在我的手機上,我沒辦法移轉到其他 iPhone、iPad 或 Mac 上,這也是一種「唯一性」的安全的考量。
那如果我要在 Mac 或是其他 PC 上透過 PassKey 登入 Google 怎麼辦?一種方法是在 Mac 上透過有密鑰的 iPhone 做認證登入,另外一種就是 Mac 在登入 Google 後也自己去申請一組 PassKey,這樣 Mac 也會擁有一組私鑰,以後就可以不用透過 iPhone 以 PassKey 的方式登入 Google。
下面這個畫面,就是在我的 Mac 沒辦法用 PasKey 登入的情況下,系統會讓我用 iPhone 掃描 QR Code 的方式驗證登入。
此外,如果你使用的裝置沒有生物驗證(例如 Face ID、Touch ID),那就只能透過具有生物驗證的方式輔助驗證後登入。
PassKey 和密碼、Touch ID、Face ID 驗證有什麼差別?
但你可能會很好奇,上面說過是透過 Touch ID、Face ID 或密碼的方式來驗證,那這不就跟之前一樣嗎?
非 PassKey:幫你把密碼叫出來,而且是明碼
這裡我們要先了解一下,無論是使用手動輸入密碼、Touch ID 或 Face ID,背後其實都「只是」為了驗證你是手機本人,並讓系統去叫出儲存在裝置中的那組密碼,然後幫你填入網站密碼欄位,就這樣而已,而且叫出來的還是明碼的文字。
如何驗證?你只要找一個可以顯示密碼的密碼欄位,利用 Touch ID 或 Face ID 把密碼自動填寫後,然後再讓那個欄位顯示密碼,就可以知道叫出來的是不是明碼了。
PassKey:幫你把「密鑰」叫出來後直接傳送給伺服器要求登入
而 PassKey 機制雖然也是會透過 Touch ID 或 Face ID 把密碼叫出來,但是叫出來的並不是密碼,而是一組密鑰以及密鑰所產生的數位簽章。
而且你也沒機會看到這個密鑰,因為現在已經不需要填寫密碼了,然後就把這組數位簽章送到驗證伺服器與公鑰進行配對、驗證。
以 Apple 的 PassKey 登入機制為例,只要有使用 iCloud 鑰匙圈管理你的密碼,並且搭配 iOS 17、macOS 14 以上的系統,並在登入時選擇「使用通行密鑰」登入,接著再透過 Touch ID 或 Face ID 驗證,就可以使用 Passkey 登入 Apple ID。
那我們怎麼知道是使用 Passkey 的密鑰登入?還是透過 Touch ID、Face ID 叫出存在鑰匙圈裡面的密碼後登入呢?
我為此特地去把鑰匙圈裡面存的密碼改掉,但還是可以成功登入,就表示確實不是用密碼登入,而是透過 PassKey 的「密鑰」登入。
所以 PassKey 和 Touch ID、Face ID 以及密碼其實是不同的概念,在 iPhone 上使用 Touch ID、Face ID 以及密碼其實是保護你存在手機裡面的密碼不會被竊取,至於他怎麼存在伺服器、怎麼傳輸就不管了。
而 PassKey 則是透過公鑰與私鑰的概念,確保密碼在傳輸、儲存的過程都是安全的,而 Touch ID、Face ID 與密碼只是手機端的驗證機制而已。
更安全的無密碼登入方式:PassKey
總結來說,PassKey 具有以下的幾種特性:
- 提供高強度的密碼保護。
- 可透過 Touch ID 或 Face ID 輕鬆使用。
- 使用 Face ID 或 Touch ID 可以快速建立帳戶登入,而且無需再設置密碼。
- 通行密鑰與 iCloud 鑰匙串同步,可在所有 Apple 裝置上使用。
- 通行密鑰基於 FIDO 聯盟和 W3C 標準,使用加密密鑰對替換傳統密碼,大大提高了安全性。
- 每個通行密鑰都具有高度的安全性,不可能被猜測或重複使用。
- 通行密鑰與其所屬的 App 或網站有內在的關聯,使用者不會被釣魚或使用其通行密鑰登錄到假的 App 或網站。
PassKey為我們提供了一個更簡單、更安全的驗證方法。隨著更多的平台和應用程序採用這種技術,對於我們的個資安全、帳號安全都會是好事,如果可以的話,也會建議大家可以使用 PassKey 通行密鑰來保護你的帳號安全。
延伸閱讀》
- Google 宣布支援支援密碼金鑰 Passkey,設定與使用方法完整教學
- Google 兩步驟驗證功能開啟教學, 用 5 種方法提高帳號安全性
- Google 登入要求輸入 8 位數備用碼在哪裡?這裡教你如何查詢
- Google 兩步驟驗證 App 終於支援雲端同步資料,還換了新 LOGO
如果想知道更多關於 Apple 的消息、教學、小技巧或是科技新知,一定要點擊以下任一 LOGO,追蹤我們的 Facebook 粉絲團、加入官方 Line 帳號、訂閱 IG、YouTube 以及 Telegram。
