Passkey 登入免密碼將取代傳統方式,可抵擋網路釣魚威脅
相較於傳統密碼輸入的登入方式,由 FIDO 聯盟和 W3C 聯手蘋果、Google、微軟等共同推動的「Passkey」標準更加安全,不必輸入密碼,愈來愈多服務和裝置將支援 Passkey。
「Passkey 是未來保護網路安全的基本做法,本質上更加安全,更能抵禦網路釣魚等威脅」,網際網路安全中心(Center for Internet Security,CIS)技術長 Kathleen Moriarty 指出,Passkey 是由 FIDO 聯盟(Fast IDentity Online Alliance)和全球資訊網聯盟(World Wide Web Consortium,W3C),與蘋果、Google、微軟等指標性公司合作建立的無密碼登入標準,這些公司的平台支援 Passkey,以 Passkey 取代密碼輸入的服務和組織也不斷增加。
當一項服務採用 Passkey 標準時,無需輸入密碼,用戶只要在信任裝置同意登入,就能獲得帳號使用權限。若他人試圖使用密碼登入服務,系統因向用戶持有的手機等裝置發送通知,必須輸入 PIN 碼或通過臉部、指紋辨識等生物辨識方式才能登入帳號,多了一道重要的身分驗證關卡。
▲ Passkey 透過手機驗證身分、登入帳號。(Source:FIDO 聯盟)
密碼安全有個存在已久的問題是,為了易於記住密碼,人們傾向在不同平台上使用相同或非常相似的字串當做密碼,通常包含個人資訊如英文名字、生日、電話號碼等,密碼強度不高。還有更糟糕的是,選用簡單易猜的密碼(如「abc123」或「password」),如同為駭客創造絕佳的攻擊機會。這也意味著駭客只要取得單一網站或 App 的密碼,有機會入侵用戶多個帳號。
Passkey 則解決這個問題,它為每位用戶使用網站或 App 提供單獨的身分驗證,每次加密都不相同。從安全的角度來看,Passkey 比密碼輸入安全得多。
Passkey 因有蘋果、Google、微軟三大廠撐腰,像是適用於 iPhone 的 iOS 16 以及 Mac 電腦的 macOS Ventura 已支援 Passkey,Google 自 2022 年 12 月起也對 Android、Windows、macOS 上的 Chrome 瀏覽器給予支援。
三大廠各自已有雙重驗證、多重要素驗證等機制,通常以原本帳號密碼伴隨信任裝置來驗證身分。驗證程序也不盡相同,像是登入蘋果需要輸入 Apple ID 驗證碼,Google 則是要求用戶開啟特定 App 來允許/拒絕登入。而 Passkey 強調不需輸入密碼就能跨平台和裝置使用,並為用戶提供一致的登入體驗。
▲ 蘋果目前採用的雙重驗證機制。(Source:蘋果)
儘管 Passkey 正在加速普及,仍是一種相對較新的登入方式。Passkey 的潛在缺點是,一旦用戶遺失用於登入驗證的信任裝置時,必須立即重置 Passkey,以防遭到他人冒用。建議手邊要有備用機,防範這類狀況發生。
微軟數位防禦報告指出,現今網路犯罪不停增加,密碼攻擊次數飆升至平均每秒約 921 次攻擊,一年內成長 74% 相當驚人。無論如何,用戶應採取如 Passkey 等安全登入措施,或使用密碼管理工具以及高強度的密碼,好好保護自己的帳號以及個人資料。
(首圖來源:shutterstock)