新聞

PassKey 原理是什麼？你一定要知道的無密碼解鎖方式更安全

在網際網路上，我們普遍透過密碼來管理、保護我們的個人資料，但是無論密碼再怎麼複雜、再怎麼加密，都還是有可能因為疏忽遭到外流，甚至破解。

近幾年，包含 Apple、Google…等大廠都在推動無密碼的 PassKey 計畫，透過生物辨識的方式取代密碼的輸入、傳輸、驗證。

那麼這個 PassKey 到底是什麼？是利用什麼原理來達成無密碼還可以驗證的效果？又該如何使用？

什麼是無密碼驗證 PassKey？

PassKey 是一種新型的安全驗證方法，使用 PassKey 的驗證方式，就不需要再使用傳統的文字密碼。

當你使用 PassKey 註冊或登錄網站時，你的裝置會產生一組專屬的密鑰，這組密鑰非常安全，只有你的裝置知道。

當你嘗試登錄到使用 PassKey 的網站時，你的裝置會使用這組密鑰進行驗證，而不是傳統的文字密碼。

PassKey 的驗證原理是什麼？要如何使用？

講原理的這一段可能會有一點點的生硬，大家可以斟酌看看是不是要跳過。

PassKey 的運作原理

當我們談論 PassKey 的「密鑰」通常包括一對公鑰和私鑰：

公鑰：這是可以公開的部分。公鑰在建立後會被傳送到伺服器或其他需要驗證身份的地方。即使公鑰被其他人知道，也無法使用公鑰來假冒你的身份。
私鑰：這是保留在裝置上的部分，在安全保護的情況下不會外洩。私鑰用來生成一個數位簽章，這個簽章在需要驗證時可以使用公鑰進行驗證，而且只有擁有私鑰的人才能生成有效的數位簽章。

在 PassKey 或類似的技術中，私鑰通常存在裝置的安全元件中，例如 Apple 的 Secure Enclave 或 Android 的 Trusted Execution Environment。

這些元件專為保護敏感數據而設計，並提供了硬體級別的安全性，使得私鑰即使在裝置被駭的情況下也難以被取得。

PassKey 的使用方式

大概瞭解了公鑰與私鑰概念後，我們就可以來看看 PassKey 是如何運作的。不過目前 PassKey 只能說是開始漸漸被推廣的技術，但還不是很全面到每個地方都可以用。

在這之前要知道，當你要使用 Passkey 驗證身份的時候，需要搭配具有生物辨識驗證功能（例如 Face ID、Touch ID）的裝置，通過生物驗證功能後，才可以取用存在裝置裡面的私鑰。

以不久前推出 PassKey 的 Google 為例，你可以先在帳號內設定要使用 PassKey，當你需要登入 Google 帳號的時候，透過 Face ID、Touch ID 做驗證後，就能夠以比較安全、無需使用密碼的 PassKey 方式登入你的 Google 帳號。

你可能會覺得整個過程和你用 Face ID 或 Touch ID 登入好像沒什麼差別，也確實是這樣沒錯，但是背後的原理其實和過去是不一樣的，而且如果仔細觀察，輸入密碼的欄位也不會出現。

其他像是 1Password 這類支援 PassKey 的驗證方式也是相同的原理。

PassKey 可以在不同裝置上使用嗎？

PassKey 的使用上除了是「無密碼」以外，還是「不可跨裝置」。

上面有提到，Passkey 會生成一個公鑰和私鑰，公鑰存在伺服器上，私鑰存在你自己的裝置上，所以當我用 iPhone 註冊 Google 的帳號時，就會在我的 iPhone 上生成一組私鑰，然後再 Google 的伺服器生成一組公鑰。

而我手機上的這組私鑰「絕對」只會出現在我的手機上，我沒辦法移轉到其他 iPhone、iPad 或 Mac 上，這也是一種「唯一性」的安全的考量。

那如果我要在 Mac 或是其他 PC 上透過 PassKey 登入 Google 怎麼辦？一種方法是在 Mac 上透過有密鑰的 iPhone 做認證登入，另外一種就是 Mac 在登入 Google 後也自己去申請一組 PassKey，這樣 Mac 也會擁有一組私鑰，以後就可以不用透過 iPhone 以 PassKey 的方式登入 Google。

下面這個畫面，就是在我的 Mac 沒辦法用 PasKey 登入的情況下，系統會讓我用 iPhone 掃描 QR Code 的方式驗證登入。

此外，如果你使用的裝置沒有生物驗證（例如 Face ID、Touch ID），那就只能透過具有生物驗證的方式輔助驗證後登入。