虽然强密码已远比简易密码有效,不但更难被暴力破解或遭骇,也能为我们的资料提供最基本的安全保障,但新的无密码登入技术通行密钥(passkey)已大幅提升资料安全的层级。无国界记者(RSF)将在本文解说这种新技术的运作原理和实际应用方式。
长久以来,密码一直是最常见的数字资料保护方式,但这种技术也存在一些严重的漏洞:
- 密码很容易外泄:特别是多人共用帐号时(例如记者、同事、实习生都可登入、管理同一个新闻社群帐号)。
- 储存在特定装置上的密码可能遭窃取:记者常因需记住多组复杂密码,选择将密码储存在文件或密码管理器中,方便复制贴上,但骇客有时会用拦截剪贴簿的方式偷密码。
- 密码非常容易被钓鱼攻击:骇客可制作几可乱真的假登入页面,诱使使用者输入帐号密码,借此偷走密码、骇走帐号。
- 密码容易忘记:记者为了安全起见,也可以选择完全不把密码写下来,但不需经常手动输入的密码反而可能被忘记。
什么是通行密钥?
通行密钥(passkey)能大幅提升帐号安全性,它靠的不是密码,而是用使用者的装置(例如手机、电脑、密码管理器或硬体金钥)随机产生一串资料,并储存在装置上。使用者为某个网站帐号建立通行密钥 时,这把“金钥”会被拆成两半:一半存在使用者的装置上;另一半由网站保存。
使用者登入网站时,网站会向使用者的装置请求通行密钥验证,装置会请使用者进行验证(例如指纹、脸部辨识、装置 PIN 码等),成功后就会显示通行密钥。当装置端的通行密钥 和网站端的通行密钥 成功匹配,使用者就能完成登入,全程无需输入任何密码。
除了行动装置之外,通行密钥还可储存在:
- 手机作业系统:Google 密码管理器、苹果的 iCloud 钥匙圈
- 浏览器:Chrome、Safari(和 iCloud 钥匙圈整合)、Microsoft Edge
- 密码管理工具:Bitwarden、1Password、ProtonPass
更安全也更方便
通行密钥的最大优势在于没有密码可以外泄或被偷,而且不同的使用者可为同一个帐号建立多把通行密钥。如此一来,每个同事都可以在各自的装置上建立通行密钥,方便团队用安全的方式共享帐号。
通行密钥的安全性甚至超越传统的密码跟双重验证(2FA)组合。如果使用者被钓鱼网站骗取帐号和一次性验证码(如简讯、电子邮件、或验证 APP),还是有可能被骗走密码和双重验证码。但通行密钥 把密码与第二重的验证合并为一个步骤,提供更强大的防护,使用者也能更快登入。
除此之外,由于通行密钥 会为特定网站网域生成,就算骇客做出几可乱真的钓鱼网页骗到使用者,通行密钥也无法在假网域完成验证。
用密码管理器统一管理通行密钥
密码管理器是用来集中储存密码的软体工具,可将多组密码加密后存在装置上。使用者只需记住一组主密码(master password),就能用它产生加密金钥,解锁其他密码。所以就算装置落入他人手中,只要主密码未泄露,对方就无法解锁其他密码。
虽然密码管理器的防护力已经很强,但还是有可能被骇客暴力破解,所以主密码一定要够长、够强。 RSF 建议主密码应至少包含16个字元。
装置安全更重要
由于通行密钥 绑定的是使用者的装置,请务必为装置设定强密码、启用生物辨识(如指纹或脸部辨识)、用安全的方式储存资料,以防止不肖人士登入。一旦储存通行密钥的装置落入不肖人士手中,他们就有可能可以直接登入使用者的各个帐号。