什麼是通行密鑰 (Passkey)?
通行密鑰 (Passkey) 是一種基於 FIDO 的安全且便利的傳統密碼替代方案。它們使用先進的加密技術保護你的帳戶免於 釣魚 攻擊。
- 每個服務都獨一無二:當你註冊服務時,設備會創建一個與該特定服務的域相關聯的唯一通行密鑰。
- 設備關聯:通行密鑰通常與設備相關聯,如手機、筆記型電腦、生物特徵識別或硬體安全密鑰。
- 公私鑰對:設備保留私鑰,並將公鑰與服務共享。這些加密鑰對稱是所謂的通行密鑰。(引述自 FIDO )
- 多種驗證方法:你可以使用指紋掃描、面部識別、設備 PIN 碼、QR 碼掃描或安全密鑰來透過通行密鑰進行驗證。
- 跨設備同步:通行密鑰可以透過安全的雲儲存(例如 Apple 的 iCloud 鑰匙圈或 Google Password Manager)在設備之間同步,讓你從任何支援的設備登入。
通行密鑰 (Passkey) 的工作流程是什麼樣的?
通行密鑰 (Passkey) 通過使用公鑰加密技術來提供安全憑證。
- 註冊
- 當你註冊服務時,設備生成一個與該服務相關聯的唯一加密鑰對。
- 私鑰 保留在你的設備上,而 公鑰 則與服務共享。
- 驗證
- 當你嘗試登入時,服務會向你的設備發送一個挑戰。
- 你的設備使用 私鑰 基於挑戰生成一個加密簽名。
- 簽名 被發送回服務,該服務使用 公鑰 驗證它。
- 如果簽名有效,則驗證成功。
閱讀 WebAuthn,一個用於實現通行密鑰的 API,來了解詳情。
通行密鑰 (Passkey) 的終端用戶流程是什麼樣的?
通行密鑰提供兩種類型的驗證器以供本地和雲端使用的靈活性,並且用戶可以為服務啟用其中一種或兩種。
- 平台驗證器 (內部驗證器):與特定設備操作系統相關聯(例如手機、筆記型電腦),使用生物識別或設備密碼進行授權。這快速而便利。
- 範例:Apple 設備上的 iCloud 鑰匙圈(透過 Touch ID、Face ID 或設備密碼進行驗證)、Windows Hello、Android 上的 Google Password Manage。
- 漫遊驗證器 (外部驗證器):便攜的設備或軟件,例如安全密鑰、智能手機。可在多個設備上使用,但可能需要額外的步驟,例如 QR 碼掃描或 NFC/藍牙配對。
- 範例:YubiKey 和智能手機上的雲端帳戶。移動驗證器通常需要掃描 QR 碼以連接至桌面設備,跨設備驗證需要通過藍牙、NFC 或 USB 連接以確保驗證器在附近。
何時使用通行密鑰 (Passkey)?
通行密鑰是可以作為第一因素或第二因素的現代認證因素。
- 通行密鑰登入:通行密鑰提供比傳統密碼更快且更安全的無密碼認證方法。
- 現代應用程序通常在登入頁面上設有“使用通行密鑰登入”按鈕,提示用戶主動點擊此選項。
- 此外,如果發現用戶正在使用與其通行密鑰註冊的相同設備和瀏覽器,登入頁面能夠自動彈出通行密鑰登入提示。
- 通行密鑰 MFA:通行密鑰也可作為 MFA 的第二因素。
- 當用戶嘗試登入時,他們首先輸入電子郵件和密碼(或其他第一因素),然後服務提示他們使用通行密鑰完成 2 步驗證。
- 如果瀏覽器中存在現有會話,服務可以直接提示用戶使用通行密鑰登入,而不要求他們再次輸入密碼。這個過程稱為完成 MFA,因為通行密鑰是一種高級安全手段,通過綁定到當前設備並透過生物識別、PIN 碼或其他硬體方法驗證用戶。
- 安全驗證:在高安全性環境中,通行密鑰經常用於雙重檢查用戶身份。例如,當訪問敏感金融信息或進行關鍵操作(銀行、政府、企業系統)時。