PassKey 原理是什麼？你一定要知道的無密碼解鎖方式更安全

在網際網路上，我們普遍透過密碼來管理、保護我們的個人資料，但是無論密碼再怎麼複雜、再怎麼加密，都還是有可能因為疏忽遭到外流，甚至破解。

近幾年，包含 Apple、Google…等大廠都在推動無密碼的 PassKey 計畫，透過生物辨識的方式取代密碼的輸入、傳輸、驗證。

那麼這個 PassKey 到底是什麼？是利用什麼原理來達成無密碼還可以驗證的效果？又該如何使用？

延伸閱讀 不用密碼登入才安全！教你把密碼通通改成 Passkey 驗證登入！

什麼是無密碼驗證 PassKey？

PassKey 是一種新型的安全驗證方法，使用 PassKey 的驗證方式，就不需要再使用傳統的文字密碼。

當你使用 PassKey 註冊或登錄網站時，你的裝置會產生一組專屬的密鑰，這組密鑰非常安全，只有你的裝置知道。

當你嘗試登錄到使用 PassKey 的網站時，你的裝置會使用這組密鑰進行驗證，而不是傳統的文字密碼。

PassKey 的驗證原理是什麼？要如何使用？

講原理的這一段可能會有一點點的生硬，大家可以斟酌看看是不是要跳過。

PassKey 的運作原理

當我們談論 PassKey 的「密鑰」通常包括一對公鑰和私鑰：

1. 公鑰：這是可以公開的部分。公鑰在建立後會被傳送到伺服器或其他需要驗證身份的地方。即使公鑰被其他人知道，也無法使用公鑰來假冒你的身份。

2. 私鑰：這是保留在裝置上的部分，在安全保護的情況下不會外洩。私鑰用來生成一個數位簽章，這個簽章在需要驗證時可以使用公鑰進行驗證，而且只有擁有私鑰的人才能生成有效的數位簽章。

在 PassKey 或類似的技術中，私鑰通常存在裝置的安全元件中，例如 Apple 的 Secure Enclave 或 Android 的 Trusted Execution Environment。

這些元件專為保護敏感數據而設計，並提供了硬體級別的安全性，使得私鑰即使在裝置被駭的情況下也難以被取得。

PassKey 的使用方式

大概瞭解了公鑰與私鑰概念後，我們就可以來看看 PassKey 是如何運作的。不過目前 PassKey 只能說是開始漸漸被推廣的技術，但還不是很全面到每個地方都可以用。

在這之前要知道，當你要使用 Passkey 驗證身份的時候，需要搭配具有生物辨識驗證功能（例如 Face ID、Touch ID）的裝置，通過生物驗證功能後，才可以取用存在裝置裡面的私鑰。

以不久前推出 PassKey 的 Google 為例，你可以先在帳號內設定要使用 PassKey，當你需要登入 Google 帳號的時候，透過 Face ID、Touch ID 做驗證後，就能夠以比較安全、無需使用密碼的 PassKey 方式登入你的 Google 帳號。

你可能會覺得整個過程和你用 Face ID 或 Touch ID 登入好像沒什麼差別，也確實是這樣沒錯，但是背後的原理其實和過去是不一樣的，而且如果仔細觀察，輸入密碼的欄位也不會出現。

其他像是 1Password 這類支援 PassKey 的驗證方式也是相同的原理。

PassKey 可以在不同裝置上使用嗎？

PassKey 的使用上除了是「無密碼」以外，還是「不可跨裝置」。

上面有提到，Passkey 會生成一個公鑰和私鑰，公鑰存在伺服器上，私鑰存在你自己的裝置上，所以當我用 iPhone 註冊 Google 的帳號時，就會在我的 iPhone 上生成一組私鑰，然後再 Google 的伺服器生成一組公鑰。

而我手機上的這組私鑰「絕對」只會出現在我的手機上，我沒辦法移轉到其他 iPhone、iPad 或 Mac 上，這也是一種「唯一性」的安全的考量。

那如果我要在 Mac 或是其他 PC 上透過 PassKey 登入 Google 怎麼辦？一種方法是在 Mac 上透過有密鑰的 iPhone 做認證登入，另外一種就是 Mac 在登入 Google 後也自己去申請一組 PassKey，這樣 Mac 也會擁有一組私鑰，以後就可以不用透過 iPhone 以 PassKey 的方式登入 Google。

下面這個畫面，就是在我的 Mac 沒辦法用 PasKey 登入的情況下，系統會讓我用 iPhone 掃描 QR Code 的方式驗證登入。

此外，如果你使用的裝置沒有生物驗證（例如 Face ID、Touch ID），那就只能透過具有生物驗證的方式輔助驗證後登入。

PassKey 和密碼、Touch ID、Face ID 驗證有什麼差別？

但你可能會很好奇，上面說過是透過 Touch ID、Face ID 或密碼的方式來驗證，那這不就跟之前一樣嗎？

非 PassKey：幫你把密碼叫出來，而且是明碼

這裡我們要先了解一下，無論是使用手動輸入密碼、Touch ID 或 Face ID，背後其實都「只是」為了驗證你是手機本人，並讓系統去叫出儲存在裝置中的那組密碼，然後幫你填入網站密碼欄位，就這樣而已，而且叫出來的還是明碼的文字。

如何驗證？你只要找一個可以顯示密碼的密碼欄位，利用 Touch ID 或 Face ID 把密碼自動填寫後，然後再讓那個欄位顯示密碼，就可以知道叫出來的是不是明碼了。

PassKey：幫你把「密鑰」叫出來後直接傳送給伺服器要求登入

而 PassKey 機制雖然也是會透過 Touch ID 或 Face ID 把密碼叫出來，但是叫出來的並不是密碼，而是一組密鑰以及密鑰所產生的數位簽章。

而且你也沒機會看到這個密鑰，因為現在已經不需要填寫密碼了，然後就把這組數位簽章送到驗證伺服器與公鑰進行配對、驗證。

以 Apple 的 PassKey 登入機制為例，只要有使用 iCloud 鑰匙圈管理你的密碼，並且搭配 iOS 17、macOS 14 以上的系統，並在登入時選擇「使用通行密鑰」登入，接著再透過 Touch ID 或 Face ID 驗證，就可以使用 Passkey 登入 Apple ID。

那我們怎麼知道是使用 Passkey 的密鑰登入？還是透過 Touch ID、Face ID 叫出存在鑰匙圈裡面的密碼後登入呢？

我為此特地去把鑰匙圈裡面存的密碼改掉，但還是可以成功登入，就表示確實不是用密碼登入，而是透過 PassKey 的「密鑰」登入。

所以 PassKey 和 Touch ID、Face ID 以及密碼其實是不同的概念，在 iPhone 上使用 Touch ID、Face ID 以及密碼其實是保護你存在手機裡面的密碼不會被竊取，至於他怎麼存在伺服器、怎麼傳輸就不管了。

而 PassKey 則是透過公鑰與私鑰的概念，確保密碼在傳輸、儲存的過程都是安全的，而 Touch ID、Face ID 與密碼只是手機端的驗證機制而已。

更安全的無密碼登入方式：PassKey

總結來說，PassKey 具有以下的幾種特性：

• 提供高強度的密碼保護。
• 可透過 Touch ID 或 Face ID 輕鬆使用。
• 使用 Face ID 或 Touch ID 可以快速建立帳戶登入，而且無需再設置密碼。
• 通行密鑰與 iCloud 鑰匙串同步，可在所有 Apple 裝置上使用。
• 通行密鑰基於 FIDO 聯盟和 W3C 標準，使用加密密鑰對替換傳統密碼，大大提高了安全性。
• 每個通行密鑰都具有高度的安全性，不可能被猜測或重複使用。
• 通行密鑰與其所屬的 App 或網站有內在的關聯，使用者不會被釣魚或使用其通行密鑰登錄到假的 App 或網站。

PassKey為我們提供了一個更簡單、更安全的驗證方法。隨著更多的平台和應用程序採用這種技術，對於我們的個資安全、帳號安全都會是好事，如果可以的話，也會建議大家可以使用 PassKey 通行密鑰來保護你的帳號安全。

延伸閱讀》

• Google 宣布支援支援密碼金鑰 Passkey，設定與使用方法完整教學
• Google 兩步驟驗證功能開啟教學， 用 5 種方法提高帳號安全性
• Google 登入要求輸入 8 位數備用碼在哪裡？這裡教你如何查詢
• Google 兩步驟驗證 App 終於支援雲端同步資料，還換了新 LOGO

如果想知道更多關於 Apple 的消息、教學、小技巧或是科技新知，一定要點擊以下任一 LOGO，追蹤我們的 Facebook 粉絲團、訂閱 IG、YouTube 以及 Telegram。