科技巨頭協力打造無密碼時代,推動 「Passkeys」取代密碼式認證
即使密碼認證本身存在著許多不便以及安全上的疑慮,絕大多數的應用程式以及網站還是將密碼作為主要登入方式。為了要取代密碼以強化資安,近幾年來也有研發出不少無密碼身份驗證方式,例如:生物辨識、簡訊 OTP 以及硬體鎖,讓使用者無需輸入複雜的密碼即可登入;但是這些無密碼登入方法,往往無法完全取代密碼 (原因在後半部解釋)。
今年上半年的時候,Apple 、Google 和 Microsoft 宣布近期將在各大平台上推出新的無密碼登入方式。蘋果也在今年五月的 World-Wide Developers Conference 中宣佈會在秋季推出的 iOS16 以及 macOS Ventura 中支援名為 passkeys (通行密鑰)的無密碼身份驗證制式,而此舉也讓我們離無密碼的時代又更近了一步。不過,不少人仍然不了解Passkeys 要如何完全取代密碼,因此我們將在此文章中討論密碼驗證的問題在哪,以及 passkeys 將如何使我們更接近一個沒有密碼的未來。
為什麼需要取代密碼?
不管用戶的密碼再怎麼複雜,密碼認證本身仍有著不少安全漏洞。當用戶們創建帳號時,密碼將被儲存在企業的伺服器上,當使用者要登入時,伺服器會將輸入的密碼以及儲存在伺服器中的密碼做比對來驗證使用者身份;但是這樣的機制讓駭客可以透過駭入伺服器來竊取使用者密碼,即使正確地使用散列 (hashing) 和加鹽 (salting) 來保護密碼,也有可能因為其他因素而導致密碼洩漏,例如:不小心將密碼紀錄在 log 中,或是受到如網路釣魚、MITM 等攻擊。
除了儲存密碼的方式,很多使用者為了方便,會重複使用同組密碼在不同應用程式或網站上註冊。根據研究,一個密碼平均會被使用來註冊五個帳號,而這也是使用者最常密碼被盜用的原因。雖然使用多組密碼可以降低被盜用的機率,但如果沒有使用像是密碼管理員的服務,使用者常常也會忘記這些密碼。為了確保個資安全,三大科技巨頭大力推廣無密碼驗證以及通行密鑰,讓消費者可以在多個裝置以及平台上透過更安全、便利的方式登入。
現有的無密碼驗證有哪些?
無密碼驗證已經有一定程度上的普及化,現今常見的無密碼驗證有:一次性密碼 (One-time password)、硬體鎖或硬體鑰匙 (hardware key)、生物辨識以及一次性連結 (magic link)。
雖然這些無密碼驗證方式已發展多時,但仍然無法完全取代密碼。
首先硬體鎖雖然最為安全,但在使用上不如密碼那樣方便;生物辨識所需的數據無法在不同平台以及裝置間傳送;而一次性密碼/連結則較不安全,駭客可以中途攔截透過 SMS 或電子郵件傳送的一次性密碼,又或者是透過網路釣魚的方式得到一次性密碼。
因此,雖然現在已經有不少無密碼驗證的方式,消費者仍然缺少一個便捷同時安全的登入方式。
通行密鑰 (Passkeys)
通行密鑰 (Passkeys) 是基於 WebAuthn 公用密鑰加密技術 (public key cryptography) 而成的新一代身份驗證機制,大眾能以比現在的無密碼和密碼式認證更快速、隱密、簡單的方式來註冊以及登入網站和應用程式。
公用密鑰加密技術的產生降低了上述伺服器密碼外流的風險,當用戶註冊新帳號的時候,系統會自動建立一組公鑰 (public key) 以及私鑰 (private key),公鑰將被儲存在服務器上,私鑰則是存在使用者的設備上,即便駭客駭入伺服器獲得公鑰,他們也無法藉由公鑰來獲得或導出身份驗證所需要的私鑰,進而降低資安風險。
通行密鑰便是建立在此基礎上,當消費者想登入時,可以透過與解鎖裝置相同的操作,用指紋或臉部辨識、圖形鎖或是 PIN 碼等方式來授權通行密鑰的使用來登入 APP 或網站,相比傳統的密碼和多因素認證 (multi-factor authentication),通行密鑰更能夠防範網路釣魚必且大幅提升登入安全性。
除此之外,使用者也能夠透過通行密鑰的機制以及雲端存取,輕鬆在不同裝置上自動存取他們的登入憑證,不需要逐一重新輸入帳號密碼和通過多因素認證。用戶可以跨平台系統登入 APP 或網頁,只要使用已經過認證的手機或平板掃描 QR 碼即可登入新裝置。各大平台與瀏覽器如:Microsoft Windows、Microsoft Edge、MacOS、iOS、Safari 與 Android 都將在近年內支援passkeys;如果需要借親朋好友使用自己的帳號,通行密鑰也能以安全的方式被分享出去。
透過 Authgear,輕鬆地在你的應用程式裡支援通行密鑰來提供更好的使用者體驗
Google 於今年十月在Android 和 Chrome 中支援通行密鑰,蘋果則是已經在九月推出的 iOS 16 中支援通行密鑰。
開發方面,透過 Authgear,工程師能輕鬆在應用程式中支援通行密鑰並將其作為主要的身份驗證方式。將 Authgear 的 SDK 安裝以及設定好後,只需要點擊 Authgear 網頁上的 “Login with Passkeys” 即可提供安全又簡易的登入體驗給使用者。
除此之外,Authgear 也提供諸多使用者驗證以及管理所需的功能,如:預建的可客製化登入頁面、使用者設定頁面、使用者分析、WhatsApp OTP以及其他多種身份驗證方式來協助企業提供更好的客戶體驗、提高用戶轉換率以及用戶存留率。
