你是否還在用同一組密碼走遍天下?或是桌上放著一本小本子記錄各種帳號密碼?隨著網路服務越來越多、駭客攻擊手法越來越精進,傳統的帳號密碼驗證方式已經顯得力不從心。一個新的驗證技術正在悄悄改變遊戲規則——Passkey。數位時代創新長黃亮崢James再次邀請AWS社群英雄蔣鐙緯Ernest,深入解析這個可能顛覆我們認知、讓登入變得更安全又更方便的新驗證技術。
聽完這集你可以學到:
1.Passkey的核心概念與運作原理:理解Passkey如何透過「指紋鎖」概念徹底改變傳統驗證方式。不同於傳統密碼像是可能被複製的鑰匙、OTP像是多加一層會過期的電子鎖,Passkey就像每個網站都有獨一無二的指紋鎖,而你的指紋只存在自己的手機裡,對方網站完全拿不到。
2.公鑰私鑰的安全架構:認識Passkey背後的FIDO安全規格與WebAuthn國際標準。每次登入新網站時,手機會建立兩把金鑰:公鑰放在網站端、私鑰留在你的裝置上。就算網站資料庫被攻擊,駭客拿到公鑰也無法算出你手機上的私鑰,確保帳號安全無虞。
3.Passkey與傳統驗證方式的根本差異:掌握為何Passkey能同時提升安全性與便利性。關鍵在於兩點:第一,驗證資訊存在你的裝置而非外部伺服器;第二,每個網站都有獨立的Passkey,就算想共用也無法共用,從根本杜絕「一組密碼走天下」的風險。
4.主流平台的支援現況與啟用方法:了解Apple、Google、微軟等大平台都已支援Passkey,以及PayPal、eBay、Slack、GitHub等美國主流服務都已上線。學會如何在自己的裝置上啟用:iPhone用戶開啟iCloud Keychain、Android用戶使用Google密碼管理器、微軟用戶則用Microsoft Authenticator App,先把鑰匙準備好,等網站支援時就能立即使用。
5.企業導入的技術門檻與實作路徑:認識Passkey基於WebAuthn開放標準,各大程式語言都有現成函式庫可用。有基礎web開發能力的團隊,1到4週就能做出prototype。另一種更省事的做法是採用Auth0、Firebase Authentication或AWS Cognito等身份驗證SaaS服務,這些平台都已整合Passkey功能。
6.用戶轉移的推廣策略:學習如何引導用戶從傳統密碼轉換到Passkey。建議採取「選擇性服務」策略,保留原有登入方式的同時提供Passkey選項;透過「引導式教育」讓用戶理解不用再記密碼的便利性;甚至可加入「激勵機制」鼓勵用戶轉換,例如提供優惠或額外功能。
7.企業內部密碼管理的改革契機:理解Passkey如何解決企業長期面臨的兩大問題。第一是員工需使用多套軟體、各自有登入機制的複雜性,可透過SSO機制簡化;第二是多位同事共用帳號密碼的安全風險,導入Passkey後每個員工都能有獨立登入憑證,既方便又利於企業控管帳號權限。
Ernest對Passkey的未來發展非常樂觀。在推廣Passkey的過程中,同事們都給了很好的反饋,他們說這變簡單了。以前會在好多個網站、好多個服務都共用同一組密碼(雖然不鼓勵但他們會這樣做),但匯入Passkey後他們發現可以每個網站都有各自的Passkey,加上手機普及了,電腦上的生物驗證機制也慢慢普及。
他相信這應該很快就會變成主流,至少會是主流備用的驗證方法。對資安產業影響也很深遠,特別是做密碼管理工具的廠商都已經一定要轉型開始支援Passkey。大家在推廣過程中的阻力也會變低很多,因為常見情境就是指紋辨識一下就過去了,或掃一下QR Code再指紋辨識一下就過去了。這是一個又可以提升安全性又很好用的方法。
Ernest預期在接下來三年內,大部分主流網路服務都會開始提供Passkey作為標準配置,甚至在三到五年內所有人都會開始慢慢習慣。最大的變化就是我們很久以前就建議的「不要在每個網路服務都用同一組帳號密碼」終於可以輕鬆實現了。
Powered by Firstory Hosting
信息
- 节目
- 频道
- 频率半周一更
- 发布时间2025年10月10日 UTC 23:02
- 长度34 分钟
- 分级儿童适宜