PassKey 原理是什麼?你一定要知道的無密碼解鎖方式更安全

新聞 1年前 (2023) 蘋果哥
2 0

PassKey 原理是什麼?你一定要知道的無密碼解鎖方式更安全

在網際網路上,我們普遍透過密碼來管理、保護我們的個人資料,但是無論密碼再怎麼複雜、再怎麼加密,都還是有可能因為疏忽遭到外流,甚至破解。

近幾年,包含 Apple、Google…等大廠都在推動無密碼的 PassKey 計畫,透過生物辨識的方式取代密碼的輸入、傳輸、驗證。

那麼這個 PassKey 到底是什麼?是利用什麼原理來達成無密碼還可以驗證的效果?又該如何使用?

什麼是無密碼驗證 PassKey?

PassKey 是一種新型的安全驗證方法,使用 PassKey 的驗證方式,就不需要再使用傳統的文字密碼。

當你使用 PassKey 註冊或登錄網站時,你的裝置會產生一組專屬的密鑰,這組密鑰非常安全,只有你的裝置知道。

當你嘗試登錄到使用 PassKey 的網站時,你的裝置會使用這組密鑰進行驗證,而不是傳統的文字密碼。

PassKey 的驗證原理是什麼?要如何使用?

講原理的這一段可能會有一點點的生硬,大家可以斟酌看看是不是要跳過。

PassKey 的運作原理

當我們談論 PassKey 的「密鑰」通常包括一對公鑰和私鑰:

  1. 公鑰:這是可以公開的部分。公要在建立後會被傳送到伺服器或其他需要驗證身份的地方。即使公鑰被其他人知道,也無法使用公鑰來假冒你的身份。

  2. 私鑰:這是保留在裝置上的部分,在安全保護的情況下不會外洩。私鑰用來生成一個數位簽章,這個簽章在需要驗證時可以使用公鑰進行驗證,而且只有擁有私鑰的人才能生成有效的數字簽章。

PassKey 原理是什麼?你一定要知道的無密碼解鎖方式更安全

在 PassKey 或類似的技術中,私鑰通常存在裝置的安全元件中,例如 Apple 的 Secure Enclave 或 Android 的 Trusted Execution Environment。

這些元件專為保護敏感數據而設計,並提供了硬體級別的安全性,使得私鑰即使在裝置被駭的情況下也難以被取得。

PassKey 的使用方式

大概瞭解了公鑰與私鑰概念後,我們就可以來看看 PassKey 是如何運作的。不過目前 PassKey 只能說是開始漸漸被推廣的技術,但還不是很全面到每個地方都可以用。

以不久前推出 PassKey 的 Google 為例,你可以先在帳號內設定要使用 PassKey,當你需要登入 Google 帳號的時候,同樣透過 Touch ID、Touch ID 或是輸入密碼的方式,就能夠以比較安全的 PassKey 方式登入你的 Google 帳號。

PassKey 原理是什麼?你一定要知道的無密碼解鎖方式更安全

你可能會覺得整個過程和你用 Face ID 或 Touch ID 登入好像沒什麼差別,也確實是這樣沒錯,但是背後的原理其實和過去是不一樣的,而且如果仔細觀察,輸入密碼的欄位也不會出現。

PassKey 原理是什麼?你一定要知道的無密碼解鎖方式更安全

其他像是 1Password 這類支援 PassKey 的驗證方式也是相同的原理。

PassKey 和密碼、Touch ID、Face ID 驗證有什麼差別?

但你可能會很好奇,上面說過是透過 Touch ID、Face ID 或密碼的方式來驗證,那這不就跟之前一樣嗎?

非 PassKey:幫你把密碼叫出來,而且是明碼

這裡我們要先了解一下,無論是使用手動輸入密碼、Touch ID 或 Face ID,背後其實都「只是」為了驗證你是手機本人,並讓系統去叫出儲存在裝置中的那組密碼,然後幫你填入網站密碼欄位,就這樣而已,而且叫出來的還是明碼的文字。

如何驗證?你只要找一個可以顯示密碼的密碼欄位,利用 Touch ID 或 Face ID 把密碼自動填寫後,然後再讓那個欄位顯示密碼,就可以知道叫出來的是不是明碼了。

PassKey 原理是什麼?你一定要知道的無密碼解鎖方式更安全

PassKey:幫你把密鑰叫出來後直接傳送給伺服器要求登入

而 PassKey 機制雖然也是會透過 Touch ID 或 Face ID 把密碼叫出來,但是叫出來的並不是密碼,而是一組密鑰以及密鑰所產生的數位簽章。

而且你也沒機會看到這個密鑰,因為現在已經不需要填寫密碼了,然後就把這組數位簽章送到驗證伺服器與公鑰進行配對、驗證。

下面這個是我在 Mac 上面要登入我的 Google 帳號,但是在 Mac 上沒有儲存過 Google 的 PassKey 密鑰,所以系統要求我用有存 PassKey 密鑰的設備掃描 QRCode。

PassKey 原理是什麼?你一定要知道的無密碼解鎖方式更安全

所以 PassKey 和 Touch ID、Face ID 以及密碼其實是不同的概念,在 iPhone 上使用 Touch ID、Face ID 以及密碼其實是保護你存在手機裡面的密碼不會被竊取,至於他怎麼存在伺服器、怎麼傳輸就不管了。

而 PassKey 則是透過公鑰與私鑰的概念,確保密碼在傳輸、儲存的過程都是安全的,而 Touch ID、Face ID 與密碼只是手機端的驗證機制而已。

更安全的無密碼登入方式:PassKey

總結來說,PassKey 具有以下的幾種特性:

  • 提供高強度的密碼保護。
  • 可透過 Touch ID 或 Face ID 輕鬆使用。
  • 使用 Face ID 或 Touch ID 可以快速建立帳戶登入,而且無需再設置密碼。
  • 通行密鑰與 iCloud 鑰匙串同步,可在所有 Apple 裝置上使用。
  • 通行密鑰基於 FIDO 聯盟和 W3C 標準,使用加密密鑰對替換傳統密碼,大大提高了安全性。
  • 每個通行密鑰都具有高度的安全性,不可能被猜測或重複使用。
  • 通行密鑰與其所屬的 App 或網站有內在的關聯,使用者不會被釣魚或使用其通行密鑰登錄到假的 App 或網站。

PassKey為我們提供了一個更簡單、更安全的驗證方法。隨著更多的平台和應用程序採用這種技術,對於我們的個資安全、帳號安全都會是好事,如果可以的話,也會建議大家可以使用 PassKey 通行密鑰來保護你的帳號安全。

版權聲明:蘋果哥 發表於 2023 年 8 月 21 日 00:00。
轉載請注明:PassKey 原理是什麼?你一定要知道的無密碼解鎖方式更安全 | 蘋果哥

相關文章