雖然強密碼已遠比簡易密碼有效,不但更難被暴力破解或遭駭,也能為我們的資料提供最基本的安全保障,但新的無密碼登入技術 passkey(通行金鑰)已大幅提升資料安全的層級。無國界記者(RSF)將在本文解說這種新技術的運作原理和實際應用方式。
長久以來,密碼一直是最常見的數位資料保護方式,但這種技術也存在一些嚴重的漏洞:
- 密碼很容易外洩:特別是多人共用帳號時(例如記者、同事、實習生都可登入、管理同一個新聞社群帳號)。
- 儲存在特定裝置上的密碼可能遭竊取:記者常因需記住多組複雜密碼,選擇將密碼儲存在文件或密碼管理器中,方便複製貼上,但駭客有時會用攔截剪貼簿的方式偷密碼。
- 密碼非常容易被釣魚攻擊:駭客可製作幾可亂真的假登入頁面,誘使使用者輸入帳號密碼,藉此偷走密碼、駭走帳號。
- 密碼容易忘記:記者為了安全起見,也可以選擇完全不把密碼寫下來,但不需經常手動輸入的密碼反而可能被忘記。
什麼是 passkey?
Passkey(通行金鑰)能大幅提升帳號安全性,它靠的不是密碼,而是用使用者的裝置(例如手機、電腦、密碼管理器或硬體金鑰)隨機產生一串資料,並儲存在裝置上。使用者為某個網站帳號建立 passkey 時,這把「金鑰」會被拆成兩半:一半存在使用者的裝置上;另一半由網站保存。
使用者登入網站時,網站會向使用者的裝置請求 passkey 驗證,裝置會請使用者進行驗證(例如指紋、臉部辨識、裝置 PIN 碼等),成功後就會顯示 passkey。當裝置端的 passkey 和網站端的 passkey 成功匹配,使用者就能完成登入,全程無需輸入任何密碼。
除了行動裝置之外,passkey 還可儲存在:
- 手機作業系統:Google 密碼管理器、蘋果的 iCloud 鑰匙圈
- 瀏覽器:Chrome、Safari(和 iCloud 鑰匙圈整合)、Microsoft Edge
- 密碼管理工具:Bitwarden、1Password、ProtonPass
更安全也更方便
Passkey 的最大優勢在於沒有密碼可以外洩或被偷,而且不同的使用者可為同一個帳號建立多把 passkey。如此一來,每個同事都可以在各自的裝置上建立 passkey,方便團隊用安全的方式共享帳號。
Passkey 的安全性甚至超越傳統的密碼跟雙重驗證(2FA)組合。如果使用者被釣魚網站騙取帳號和一次性驗證碼(如簡訊、電子郵件、或驗證 APP),還是有可能被騙走密碼和雙重驗證碼。但 passkey 把密碼與第二重的驗證合併為一個步驟,提供更強大的防護,使用者也能更快登入。
除此之外,由於 passkey 會為特定網站網域生成,就算駭客做出幾可亂真的釣魚網頁騙到使用者,passkey 也無法在假網域完成驗證。
用密碼管理器統一管理 passkey
密碼管理器是用來集中儲存密碼的軟體工具,可將多組密碼加密後存在裝置上。使用者只需記住一組主密碼(master password),就能用它產生加密金鑰,解鎖其他密碼。所以就算裝置落入他人手中,只要主密碼未洩露,對方就無法解鎖其他密碼。
雖然密碼管理器的防護力已經很強,但還是有可能被駭客暴力破解,所以主密碼一定要夠長、夠強。RSF 建議主密碼應至少包含16個字元。
裝置安全更重要
由於 passkey 綁定的是使用者的裝置,請務必為裝置設定強密碼、啟用生物辨識(如指紋或臉部辨識)、用安全的方式儲存資料,以防止不肖人士登入。一旦儲存 passkey 的裝置落入不肖人士手中,他們就有可能可以直接登入使用者的各個帳號。