
在網際網路上,我們普遍透過密碼來管理、保護我們的個人資料,但是無論密碼再怎麼複雜、再怎麼加密,都還是有可能因為疏忽遭到外流,甚至破解。
近幾年,包含 Apple、Google…等大廠都在推動無密碼的 PassKey 計畫,透過生物辨識的方式取代密碼的輸入、傳輸、驗證。
那麼這個 PassKey 到底是什麼?是利用什麼原理來達成無密碼還可以驗證的效果?又該如何使用?
| 延伸閱讀 |
PassKey 是一種新型的安全驗證方法,使用 PassKey 的驗證方式,就不需要再使用傳統的文字密碼。
當你使用 PassKey 註冊或登錄網站時,你的裝置會產生一組專屬的密鑰,這組密鑰非常安全,只有你的裝置知道。
當你嘗試登錄到使用 PassKey 的網站時,你的裝置會使用這組密鑰進行驗證,而不是傳統的文字密碼。
當我們談論 PassKey 的「密鑰」通常包括一對公鑰和私鑰:
公鑰:這是可以公開的部分。公鑰在建立後會被傳送到伺服器或其他需要驗證身份的地方。即使公鑰被其他人知道,也無法使用公鑰來假冒你的身份。
私鑰:這是保留在裝置上的部分,在安全保護的情況下不會外洩。私鑰用來生成一個數位簽章,這個簽章在需要驗證時可以使用公鑰進行驗證,而且只有擁有私鑰的人才能生成有效的數位簽章。
在 PassKey 或類似的技術中,私鑰通常存在裝置的安全元件中,例如 Apple 的 Secure Enclave 或 Android 的 Trusted Execution Environment。
這些元件專為保護敏感數據而設計,並提供了硬體級別的安全性,使得私鑰即使在裝置被駭的情況下也難以被取得。
大概瞭解了公鑰與私鑰概念後,我們就可以來看看 PassKey 是如何運作的。不過目前 PassKey 只能說是開始漸漸被推廣的技術,但還不是很全面到每個地方都可以用。
在這之前要知道,當你要使用 Passkey 驗證身份的時候,需要搭配具有生物辨識驗證功能(例如 Face ID、Touch ID)的裝置,通過生物驗證功能後,才可以取用存在裝置裡面的私鑰。
你可能會覺得整個過程和你用 Face ID 或 Touch ID 登入好像沒什麼差別,也確實是這樣沒錯,但是背後的原理其實和過去是不一樣的,而且如果仔細觀察,輸入密碼的欄位也不會出現。
其他像是 1Password 這類支援 PassKey 的驗證方式也是相同的原理。
PassKey 的使用上除了是「無密碼」以外,還是「不可跨裝置」。
上面有提到,Passkey 會生成一個公鑰和私鑰,公鑰存在伺服器上,私鑰存在你自己的裝置上,所以當我用 iPhone 註冊 Google 的帳號時,就會在我的 iPhone 上生成一組私鑰,然後再 Google 的伺服器生成一組公鑰。
那如果我要在 Mac 或是其他 PC 上透過 PassKey 登入 Google 怎麼辦?一種方法是在 Mac 上透過有密鑰的 iPhone 做認證登入,另外一種就是 Mac 在登入 Google 後也自己去申請一組 PassKey,這樣 Mac 也會擁有一組私鑰,以後就可以不用透過 iPhone 以 PassKey 的方式登入 Google。
下面這個畫面,就是在我的 Mac 沒辦法用 PasKey 登入的情況下,系統會讓我用 iPhone 掃描 QR Code 的方式驗證登入。
此外,如果你使用的裝置沒有生物驗證(例如 Face ID、Touch ID),那就只能透過具有生物驗證的方式輔助驗證後登入。
但你可能會很好奇,上面說過是透過 Touch ID、Face ID 或密碼的方式來驗證,那這不就跟之前一樣嗎?
這裡我們要先了解一下,無論是使用手動輸入密碼、Touch ID 或 Face ID,背後其實都「只是」為了驗證你是手機本人,並讓系統去叫出儲存在裝置中的那組密碼,然後幫你填入網站密碼欄位,就這樣而已,而且叫出來的還是明碼的文字。
如何驗證?你只要找一個可以顯示密碼的密碼欄位,利用 Touch ID 或 Face ID 把密碼自動填寫後,然後再讓那個欄位顯示密碼,就可以知道叫出來的是不是明碼了。
而 PassKey 機制雖然也是會透過 Touch ID 或 Face ID 把密碼叫出來,但是叫出來的並不是密碼,而是一組密鑰以及密鑰所產生的數位簽章。
而且你也沒機會看到這個密鑰,因為現在已經不需要填寫密碼了,然後就把這組數位簽章送到驗證伺服器與公鑰進行配對、驗證。
以 Apple 的 PassKey 登入機制為例,只要有使用 iCloud 鑰匙圈管理你的密碼,並且搭配 iOS 17、macOS 14 以上的系統,並在登入時選擇「使用通行密鑰」登入,接著再透過 Touch ID 或 Face ID 驗證,就可以使用 Passkey 登入 Apple ID。
那我們怎麼知道是使用 Passkey 的密鑰登入?還是透過 Touch ID、Face ID 叫出存在鑰匙圈裡面的密碼後登入呢?
我為此特地去把鑰匙圈裡面存的密碼改掉,但還是可以成功登入,就表示確實不是用密碼登入,而是透過 PassKey 的「密鑰」登入。
所以 PassKey 和 Touch ID、Face ID 以及密碼其實是不同的概念,在 iPhone 上使用 Touch ID、Face ID 以及密碼其實是保護你存在手機裡面的密碼不會被竊取,至於他怎麼存在伺服器、怎麼傳輸就不管了。
而 PassKey 則是透過公鑰與私鑰的概念,確保密碼在傳輸、儲存的過程都是安全的,而 Touch ID、Face ID 與密碼只是手機端的驗證機制而已。
總結來說,PassKey 具有以下的幾種特性:
PassKey為我們提供了一個更簡單、更安全的驗證方法。隨著更多的平台和應用程序採用這種技術,對於我們的個資安全、帳號安全都會是好事,如果可以的話,也會建議大家可以使用 PassKey 通行密鑰來保護你的帳號安全。
延伸閱讀》
如果想知道更多關於 Apple 的消息、教學、小技巧或是科技新知,一定要點擊以下任一 LOGO,追蹤我們的 Facebook 粉絲團、訂閱 IG、YouTube 以及 Telegram。
伴隨 iOS 27 迎來 Apple Intelligence 與 Siri AI 的全新改版,內建的「郵件 App」也同步加入 7 項實用新功能;從搜尋郵件、...
你可能常聽到身邊的人說「這丟給 AI 就好了啊」,但自己從來沒用過,也不知道從哪裡開始。其實現在的 AI 工具不用下載、不用學任何指令,打開網頁就能用;而它最有...
不知道是不是因為受到記憶體、儲存元件等成本飆升影響,導致今年 Apple BTS 活動暫緩推出;如今 7 月中都還沒看到半點風聲,外界都好奇今年是否還有 App...
Google 摺疊手機 Pixel 11 Pro Fold 再度提前曝光,這次重點是全新「Pine」配色,以及更俐落的相機模組設計。從最新流出的渲染圖來看,Go...
Claude Fable 5 免費使用期限原定是到 7/12,相信各位應該也在上週把握機會用好用滿;但沒想到 Anthropic 稍早宣布 Claude Fab...
目前網路討論的政府普發現金資訊,至少可分成三種:上一輪中央全民普發 1 萬元、立法院正在審查的新一波「國民支援金」,以及各縣市、鄉鎮自行推出的地方振興金。 先說...