通行密鑰詳解:無密碼登入的未來
通行密鑰以公鑰加密技術支持的生物特徵驗證取代密碼。它們具有防釣魚能力、更易於使用,且已獲Apple、Google、Microsoft及數百項服務支持。
通行密鑰以公鑰加密技術支持的生物特徵驗證取代密碼。它們具有防釣魚能力、更易於使用,且已獲Apple、Google、Microsoft及數百項服務支持。
通行密鑰是儲存在您設備上的加密憑證,用於取代傳統密碼。與密碼不同——密碼是您和網站都知道的共同秘密——通行密鑰使用公鑰加密技術。當您為某服務創建通行密鑰時,您的設備會生成一對唯一的加密金鑰:公鑰與網站共享,私鑰則永不離開您的設備。驗證過程透過網站發送一個由您的設備以私鑰簽名的挑戰來進行,在不傳輸私鑰本身的情況下證明您的身份。
從用戶的角度來看,使用通行密鑰登入的感覺與在手機上使用生物特徵驗證完全一樣。您訪問一個網站,點擊「使用通行密鑰登入」或直接開始登入流程,您的設備會提示您使用Face ID、Touch ID或Windows Hello進行驗證。您以面部或指紋進行驗證,便可登入。無需輸入用戶名,無需輸入密碼,無需查看6位數驗證碼。整個雙因素要求——您擁有的東西(設備)加上您本身的特徵(生物特徵)——透過單一無縫操作完成。
FIDO聯盟是一個包括Apple、Google、微軟及數百家其他科技公司的行業聯盟,負責開發和標準化通行密鑰規範。所有主要操作系統平台均已實現通行密鑰支持:Apple的iCloud鑰匙圈可在Apple設備間同步通行密鑰,Google密碼管理員可在Android以及Windows和Mac上的Chrome間同步通行密鑰,Windows Hello和Microsoft Authenticator則在Windows上及整個微軟生態系統中處理通行密鑰。這種跨平台承諾使通行密鑰成為密碼的真正、可持續的替代方案,而非專有供應商的鎖定策略。
通行密鑰消除了整個類別的密碼攻擊。憑證填充攻擊——將數十億洩露的用戶名/密碼組合對網站進行測試——對通行密鑰無效,因為沒有密碼可洩露。當用戶使用通行密鑰時,暴露密碼雜湊數據庫的數據洩露也毫無用處,因為伺服器只儲存公鑰(公鑰本就設計為公開的,不能用於冒充用戶)。當不存在密碼時,暴力破解攻擊和字典攻擊也就無從談起。
通行密鑰由於域名綁定而天生具備防釣魚能力。通行密鑰驗證協議以加密方式驗證請求驗證的網站的確切域名。如果釣魚網站完美仿冒Google的登入頁面,任何與google.com關聯的通行密鑰都將拒絕向不同域名(如g00gle.com)進行驗證。這是一個根本性的加密保證,而非用戶必須手動執行的視覺檢查。用戶不可能被欺騙而向錯誤的網站進行驗證——安全性是自動的,不依賴於用戶的警覺性。
與TOTP驗證應用程式驗證碼相比,通行密鑰對實時釣魚中繼攻擊的抵抗力也更強。TOTP驗證碼理論上可以在30秒有效期內從釣魚網站中繼至真實網站——攻擊者看到您的驗證碼並立即使用。使用通行密鑰時,驗證與發出請求的特定來源(域名)綁定,因此中繼是不可能的。對google.com的通行密鑰驗證不能用於對任何其他域名進行驗證,即使是攻擊者控制的域名也不行。
自2022年Apple、Google和微軟宣佈聯合承諾以來,通行密鑰的平台支持已迅速擴展。在Apple設備上,通行密鑰內置於iOS 16+及macOS Ventura+,儲存在iCloud鑰匙圈中,並在您所有的Apple設備間同步。在iPhone上創建通行密鑰後,它會自動在您的Mac和iPad上可用,無需任何額外設置。Apple的Safari瀏覽器完全支持通行密鑰,iOS應用程式亦可透過ASAuthorizationController API實現通行密鑰驗證。
在Android上,通行密鑰由Google密碼管理員(面向Google帳戶用戶)或第三方憑證管理員處理。Android 9+設備透過FIDO2 API支持通行密鑰。Google自身的服務——Google帳戶登入、YouTube、Gmail——現已支持通行密鑰作為主要驗證選項。Windows、Mac和Android上的Chrome透過Google密碼管理員支持通行密鑰。Windows用戶可透過Windows Hello(Windows 10/11)創建和使用通行密鑰,可選擇使用人臉識別、指紋或PIN作為生物特徵因素。
服務層面的支持正在迅速增長。2026年,Google、微軟、Apple、亞馬遜、PayPal、GitHub、Shopify、Adobe、Coinbase、Kayak及數百項其他服務均支持通行密鑰。包括1Password、Bitwarden和Dashlane在內的主要密碼管理員支持通行密鑰與傳統密碼一同儲存。FIDO聯盟維護一個支持通行密鑰服務的公開目錄。對於香港用戶,本地服務開始採用通行密鑰——儘管截至2026年,香港銀行應用程式仍處於通行密鑰評估的早期階段。
創建通行密鑰比其他任何雙重認證設置都要簡單。在支持的服務上,在您帳戶的安全設定中尋找「創建通行密鑰」。點擊後,您的瀏覽器或操作系統會提示您使用設備的生物特徵驗證進行確認。以Face ID、Touch ID或Windows Hello確認,通行密鑰便創建完成。整個過程大約需要10秒。服務儲存您的公鑰並將其與您的帳戶關聯。私鑰儲存在您的設備上,由您的生物特徵保護。
通行密鑰的主要實際問題是當您遺失或更換設備時的應對。對於同步的通行密鑰(iCloud鑰匙圈或Google密碼管理員),當您在新設備上登入Apple ID或Google帳戶時,您的通行密鑰會跟隨您轉移。這意味著通行密鑰比硬件安全金鑰對設備遺失更具彈性。然而,這也意味著您的Apple ID或Google帳戶的安全性變得至關重要——被入侵的iCloud帳戶理論上可能會讓攻擊者訪問您同步的通行密鑰。這就是為何您的Apple ID和Google帳戶本身應以最強的可用驗證方式保護。
目前的一個限制是,通行密鑰在所有場景中尚未完全取代密碼。許多服務仍需要密碼作為備用方案,部分網站仍在實施通行密鑰支持的過程中。在近期內,一個實際的策略是為支持通行密鑰的服務創建通行密鑰,同時為尚未支持通行密鑰的服務維護強大、唯一的密碼(在密碼管理員中管理)。隨著通行密鑰採用率的持續增長,您生活中純密碼帳戶的數量將逐漸減少。
