使用密碼金鑰設定無密碼登入機制

密碼金鑰

簡介

密碼金鑰是比密碼更安全、更簡單的替代驗證方法。密碼金鑰可讓使用者透過生物特徵辨識感應器 (例如指紋或臉部辨識)、PIN 碼或圖案登入應用程式和網站,不必再費心記住及管理密碼。

開發人員和使用者兩人都討厭密碼,不但可能破壞使用者體驗,還會增加轉換過程,還對使用者和開發人員造成安全責任。Android 和 Chrome 中的 Google 密碼管理工具可減少自動填入的便利性;如果開發人員想要進一步改善轉換和安全性,密碼金鑰和身分聯盟是業界的新型做法。

密碼金鑰只需一個步驟就能滿足多重驗證要求,取代密碼和動態密碼 (例如 6 位數簡訊驗證碼),藉此提供強大的防護機制,防範網路釣魚攻擊,並避免使用者因簡訊或動態密碼而感到困擾。由於密碼金鑰是標準化的,因此單一實作可讓您在使用者的所有瀏覽器和作業系統上享有無密碼體驗。

密碼金鑰變得更簡單:

  • 使用者可以選取要登入的帳戶。您不一定要輸入使用者名稱。
  • 使用者可以使用裝置的螢幕鎖定功能進行驗證,例如指紋感應器、臉部辨識或 PIN 碼。
  • 建立並註冊密碼金鑰後,使用者就能流暢切換至新裝置並立即使用,而無須重新註冊 (與傳統的生物特徵辨識驗證功能不同,後者需要在每部裝置上進行設定)。

密碼金鑰更加安全:

  • 開發人員只會將公開金鑰儲存在伺服器中,而非輸入密碼。也就是說,不肖人士難以入侵伺服器
  • 密碼金鑰可保護使用者免於網路釣魚攻擊。密碼金鑰僅適用於已註冊的網站和應用程式。使用者無法因為受到瀏覽器或作業系統的驗證程序而受騙,在詐騙網站上進行驗證。
  • 密碼金鑰可降低傳送簡訊的費用,讓這類金鑰更安全、更符合成本效益的雙重驗證方式。

什麼是密碼金鑰?

密碼金鑰是一種數位憑證,會與使用者帳戶和網站或應用程式相連結。密碼金鑰可讓使用者無需輸入使用者名稱或密碼即可進行驗證,或是提供任何其他驗證因素。這項技術旨在取代舊的驗證機制,例如密碼

如果使用者想登入採用密碼金鑰的服務,使用者的瀏覽器或作業系統會協助選取及使用正確的密碼金鑰。運作方式與目前儲存的密碼的方式類似。為確保只有合法擁有者可以使用密碼金鑰,系統會要求使用者解鎖裝置。您可以使用生物特徵辨識感應器 (例如指紋或臉部辨識)、PIN 碼或解鎖圖案執行。

如要為網站或應用程式建立密碼金鑰,使用者必須先在該網站或應用程式註冊。

  1. 前往應用程式,然後使用現有的登入方式登入。
  2. 按一下「建立密碼金鑰」按鈕。
  3. 檢查使用新密碼金鑰儲存的資訊。
  4. 請解鎖裝置螢幕來建立密碼金鑰。

使用者返回這個網站或應用程式並登入後,就可以按照下列步驟操作:

  1. 前往應用程式。
  2. 輕觸帳戶名稱欄位,即可在自動填入對話方塊中顯示密碼金鑰清單。
  3. 選取他們的密碼金鑰。
  4. 請使用裝置螢幕解鎖才能完成登入程序。

使用者的裝置根據密碼金鑰產生簽名。這個簽章可用來驗證來源和密碼金鑰之間的登入憑證。

無論密碼金鑰儲存在何處,使用者都可以使用密碼金鑰登入任何裝置上的服務。舉例來說,在手機上建立的密碼金鑰,就能用在另一台筆記型電腦上登入網站。

密碼金鑰的運作方式為何?

密碼金鑰主要用於作業系統基礎架構,可讓密碼金鑰管理工具建立、備份,以及讓密碼金鑰提供給在該作業系統上的應用程式使用。在 Android 上,密碼金鑰可儲存在 Google 密碼管理工具中,使用者在登入相同 Google 帳戶的 Android 裝置之間同步處理密碼金鑰。密碼金鑰會先在裝置端安全加密,然後才進行同步,且需要在新裝置上解密密碼金鑰。搭載 Android OS 14 以上版本的使用者可以選擇將密碼金鑰儲存在相容的第三方密碼管理工具中。

使用者不只能在裝置上使用密碼金鑰。登入筆電時,可以使用手機上的密碼金鑰,即使密碼金鑰未與筆電保持同步,只要手機放在筆記型電腦附近,且使用者在手機上核准登入即可。密碼金鑰是根據 FIDO 標準建構而成,因此所有瀏覽器都能採用。

例如,使用者在 Windows 電腦的 Chrome 瀏覽器中造訪 example.com。這位使用者先前已在自己的 Android 裝置上登入 example.com,並產生密碼金鑰。在 Windows 電腦上,使用者會選擇使用其他裝置的密碼金鑰登入。兩部裝置會連線,系統會提示使用者核准在 Android 裝置上使用的密碼金鑰,例如透過指紋感應器核准使用。完成後,他們就會登入 Windows 機器。請注意,密碼金鑰本身不會轉移到 Windows 電腦,因此 example.com 通常會提供在 Windows 裝置上建立新的密碼金鑰。這樣使用者下次登入時,就不需要使用手機。詳情請參閱「使用手機登入」一文。

誰正在使用密碼金鑰?

許多服務都已在自家系統中使用密碼金鑰,

親自試試

您可以在以下示範中試用密碼金鑰:https://passkeys-demo.appspot.com/

隱私權注意事項

  • 因為使用生物特徵辨識登入可能會讓使用者產生假造,誤以為系統會傳送機密資訊至伺服器。事實上,生物特徵辨識資料絕對不會離開使用者的個人裝置。
  • 使用密碼金鑰自行無法跨網站追蹤使用者或裝置。同一個密碼金鑰絕對不會用於多個網站。密碼金鑰通訊協定經過精心設計,因此所有分享給網站的資訊都無法做為追蹤向量使用。
  • 密碼金鑰管理工具可保護密碼金鑰,防止他人未經授權存取及使用。例如,Google 密碼管理工具會端對端加密密碼金鑰密鑰。只有使用者可以存取及使用,雖然資料已備份到 Google 的伺服器,但 Google 並不能使用這些 ID 來假冒使用者。

安全性考量

  • 密碼金鑰會使用公開金鑰密碼編譯。公開金鑰密碼編譯可降低潛在資料侵害帶來的威脅。當使用者透過網站或應用程式建立密碼金鑰時,系統會在使用者的裝置上產生公開/私密金鑰組。網站只會儲存公開金鑰,但攻擊者能夠無從得知。攻擊者無法透過儲存在伺服器上的資料,取得使用者的私密金鑰,這是完成驗證的必要條件。
  • 密碼金鑰是繫結至網站或應用程式的身分,因此可以防範網路釣魚攻擊。瀏覽器和作業系統確保密碼金鑰只能用於建立金鑰的網站或應用程式。如此一來,使用者就不必在登入正版網站或應用程式時負責。

接收通知

訂閱 Google 密碼金鑰開發人員電子報,即可接收密碼金鑰更新通知。

後續步驟