使用密碼金鑰進行無密碼登入

簡介

密碼金鑰比密碼更加安全，而且更簡單。有了密碼金鑰，使用者就可以使用生物特徵辨識感應器 (例如指紋或臉部辨識)、PIN 碼或圖案登入應用程式和網站，這樣就不必費心記住及管理密碼。

開發人員和使用者都會感到仇恨密碼，除了提供負面的使用者體驗、加入轉換阻礙，也會為使用者和開發人員帶來安全性責任。Android 和 Chrome 中的 Google 密碼管理工具可透過自動填入功能減少阻礙；如果開發人員想要進一步改善轉換和安全性，密碼金鑰和身分識別聯盟也是業界最先進的做法。

密碼金鑰可以在一個步驟中滿足多重驗證需求，只要以密碼和動態密碼 (例如 6 位數的簡訊代碼) 取代密碼，就能有效防範網路詐騙攻擊，並避免使用者體驗簡訊或應用程式一次性密碼的使用者體驗。密碼金鑰是標準化的，因此無論在何種瀏覽器和作業系統上，所有使用者都能透過同一個瀏覽器，以體驗無密碼的體驗。

密碼金鑰變得更簡單：

• 使用者可以選取用來登入的帳戶。不需要輸入使用者名稱。
• 使用者可以使用指紋、指紋辨識或 PIN 碼等裝置的螢幕鎖定功能進行驗證。
• 建立並註冊密碼金鑰後，使用者就能順暢地改用新裝置，無須重新註冊 (不同於傳統的生物特徵辨識驗證，必須在每部裝置上進行設定)。

密碼金鑰安全無虞：

• 開發人員只會將公開金鑰儲存在伺服器中，而非密碼。也就是說，不肖人士能入侵伺服器，而且幾乎不肖人士進行入侵。
• 密碼金鑰可保護使用者不受網路詐騙攻擊。密碼金鑰只能在已註冊的網站和應用程式中運作；使用者無法誘騙詐騙網站進行驗證，因為瀏覽器或作業系統會處理驗證作業。
• 密碼金鑰可降低傳送簡訊的費用，因此雙重驗證方式更符合成本效益。

什麼是密碼金鑰？

密碼金鑰是一種數位憑證，與使用者帳戶、網站或應用程式建立關聯。密碼金鑰可讓使用者無需輸入使用者名稱或密碼就能進行驗證，或者提供其他驗證因素。這項技術旨在取代舊版驗證機制 (例如密碼)。

當使用者想要登入使用密碼金鑰的服務時，他們的瀏覽器或作業系統可協助他們選取並使用正確的密碼金鑰。這項服務看起來與今天儲存的密碼類似。為確保只有合適的擁有者可以使用密碼金鑰，系統會要求使用者解鎖裝置。您可以使用生物特徵辨識感應器 (例如指紋或臉部辨識)、PIN 碼或圖案執行此操作。

如要為網站或應用程式建立密碼金鑰，使用者必須先註冊該網站或應用程式。

1. 前往應用程式，並以現有的登入方式登入。
2. 按一下「建立密碼金鑰」按鈕。
3. 請檢查新密碼金鑰中儲存的資訊。
4. 使用裝置螢幕解鎖功能建立密碼金鑰。

當他們返回這個網站或應用程式登入時，可以按照下列步驟操作：

1. 前往應用程式。
2. 輕觸帳戶名稱欄位，即可在自動填入對話方塊中顯示密碼金鑰清單。
3. 選取密碼金鑰。
4. 使用裝置螢幕解鎖功能完成登入程序。

使用者的裝置會根據密碼金鑰產生簽章。這個簽名會用於驗證來源與密碼金鑰之間的登入憑證。

無論密碼金鑰儲存位置為何，使用者都可以在任何裝置上使用密碼金鑰登入服務。舉例來說，在手機上建立的密碼金鑰可用來在另一部筆記型電腦上登入網站。

密碼金鑰的運作方式

密碼金鑰的用途是搭載作業系統基礎架構，可讓密碼金鑰管理員建立、備份及提供密碼金鑰，供在該作業系統上執行的應用程式使用。在 Android 上，密碼金鑰可以儲存在 Google 密碼管理工具中，其 Android 裝置是已登入相同 Google 帳戶的使用者能同步處理密碼金鑰。系統會先在裝置端加密密碼金鑰，再進行同步，而且需要在新裝置上解密。Android 作業系統 14 以上版本的使用者可以選擇將密碼金鑰儲存在相容的第三方密碼管理工具中。

使用者可以不限次數地使用可用密碼的密碼金鑰；只要密碼金鑰並未同步到筆電，且手機已通過核准，使用者就能在登入筆電時使用密碼金鑰。密碼金鑰是以 FIDO 標準為基礎，因此所有瀏覽器都可以採用。

舉例來說，使用者在 Windows 電腦上的 Chrome 瀏覽器上前往 example.com。這位使用者先前已在 Android 裝置上登入 example.com，並產生密碼金鑰。在 Windows 電腦上，使用者選擇以其他裝置的密碼金鑰登入。連接兩部裝置後，系統會提示使用者核准在 Android 裝置上使用密碼金鑰，例如使用指紋感應器。登入後，已在 Windows 電腦上登入。請注意，密碼金鑰本身不會轉移至 Windows 機器，因此 example.com 會提供在該位置建立新的密碼金鑰。如此一來，下次使用者登入時不需要使用手機。詳情請參閱「使用手機登入」。

誰使用密碼金鑰？

目前已有多項服務在系統中使用密碼金鑰。

• DocuSign
• Google
  • 密碼開頭
  • Google 線上安全性網誌：加快密碼驗證速度：密碼金鑰與密碼
• Kayak
• Mercari
• NTT DOCOMO
• PayPal
• Shopify
  • 密碼金鑰如何減少電子商務購物體驗的阻礙
  • 支援商店的驗證流程密碼金鑰
• Yahoo! JAPAN
  • Yahoo! JAPAN 的密碼驗證方式減少了 25% 的登入問題，登入時間減少了 2.6 倍

親自試試

您可以在以下示範中嘗試密碼金鑰： https://passkeys-demo.appspot.com/

隱私權注意事項

• 因為使用生物特徵辨識登入可能會讓使用者做出錯誤的曝光，因而將機密資訊傳送至伺服器。實際上，生物特徵辨識材料絕對不會外洩。
• 密碼金鑰無法用來在網站之間追蹤使用者或裝置。同一個密碼金鑰絕不會用於多個網站。密碼金鑰通訊協定經過妥善設計，因此不會將與網站共用的資訊用於追蹤向量。
• 密碼金鑰管理工具可防止密碼金鑰遭到未經授權的存取及使用。舉例來說，Google 密碼管理工具會加密端對端密碼金鑰。即便使用者已備份到 Google 伺服器，但只有使用者能存取及使用這些內容，Google 也無法使用這類金鑰冒用使用者身分。

安全性考量

• 密碼金鑰使用公開金鑰密碼編譯。公開金鑰密碼編譯功能可以防範潛在的資料侵害事件。使用者使用網站或應用程式建立密碼金鑰時，會在使用者的裝置上產生公開/私密金鑰組。網站只會儲存公開金鑰，但攻擊者仍然可以使用這組金鑰。攻擊者無法從伺服器中儲存的資料衍生使用者的私密金鑰，而這是必要的驗證程序。
• 由於密碼金鑰是繫結至網站或應用程式的身分，因此可以有效防範網路詐騙攻擊。瀏覽器和作業系統可以確保密碼金鑰僅能與建立該金鑰的網站或應用程式搭配使用。這樣使用者就不必登入真正的網站或應用程式。

接收通知

訂閱 Google 密碼金鑰開發人員電子報，即可接收密碼金鑰更新通知。

後續步驟

• Android 和 Chrome 的密碼金鑰支援
• 常見問題
• 用途
• 依賴各方的密碼金鑰開發人員指南
• 瞭解如何使用憑證管理工具登入 Android 應用程式