使用密碼金鑰進行無密碼登入

簡介

用密碼金鑰登入帳戶，是更加安全便捷的替代密碼選項。密碼金鑰可讓使用者透過生物特徵辨識感應器 (例如指紋或臉部辨識)、PIN 碼或解鎖圖案登入應用程式和網站，無需記住及管理密碼。

開發人員和使用者都討厭密碼：造成使用者體驗不佳、增加轉換阻礙，且使用者和開發人員都必須承擔安全責任。Android 和 Chrome 中的 Google 密碼管理工具透過自動填入功能降低順暢體驗；如果開發人員希望進一步提升轉換和安全性，密碼金鑰和身分聯盟是業界最先進的方法。

密碼金鑰可以透過單一步驟滿足多重驗證要求，取代密碼和動態密碼 (例如 6 位數的簡訊碼)，提供強大的保護功能，有效防範網路釣魚攻擊，並避免簡訊或應用程式單次密碼的使用者體驗。由於密碼金鑰經過標準化，只要實作一次，就能在所有使用者的裝置上透過不同瀏覽器和作業系統享有無密碼的使用體驗。

密碼金鑰更加容易：

• 使用者可以選取要登入的帳戶。您不一定要輸入使用者名稱。
• 使用者可以使用裝置的螢幕鎖定 (例如指紋感應器、臉部辨識或 PIN 碼) 進行驗證。
• 密碼金鑰建立並註冊後，使用者就能流暢地切換到新裝置，不需重新註冊，這與傳統的生物特徵辨識驗證不同，這需要在每個裝置上進行設定。

密碼金鑰更加安全：

• 開發人員只會將公開金鑰儲存在伺服器中，而不需使用密碼，也就是說，惡意行為人可以透過入侵伺服器的價值遠低，而且在資料侵害事件時清理的資料量也較低。
• 密碼金鑰能保護使用者免於網路釣魚攻擊。密碼金鑰只能用於註冊的網站和應用程式，無法誘騙使用者在詐騙網站上進行驗證，因為瀏覽器或作業系統會處理驗證程序。
• 密碼金鑰可降低傳送簡訊的費用，讓雙重驗證更安全、更符合成本效益。

什麼是密碼金鑰？

「密碼金鑰」是一種數位憑證，連結至使用者帳戶和網站或應用程式。密碼金鑰可讓使用者不必輸入使用者名稱或密碼，也能進行驗證，或提供其他任何驗證方式。這項技術旨在取代密碼等舊版驗證機制。

如果使用者想登入使用密碼金鑰的服務，他們的瀏覽器或作業系統將協助他們選取及使用正確的密碼金鑰。這與現在儲存密碼的運作方式類似。為確保只有適當擁有者能使用密碼金鑰，系統會要求他們解鎖裝置。方法可以用生物特徵辨識感應器 (例如指紋或臉部辨識)、PIN 碼或解鎖圖案執行。

如要為網站或應用程式建立密碼金鑰，使用者必須先向該網站或應用程式註冊。

1. 前往應用程式，並使用現有的登入方式登入。
2. 按一下「建立密碼金鑰」按鈕。
3. 檢查使用新密碼金鑰儲存的資訊。
4. 請使用裝置螢幕解鎖功能建立密碼金鑰。

之後返回這個網站或應用程式並登入帳戶時，可執行下列步驟：

1. 前往應用程式。
2. 輕觸帳戶名稱欄位，自動填入對話方塊就會顯示密碼金鑰清單。
3. 請選取他們的密碼金鑰。
4. 請使用裝置螢幕解鎖功能完成登入程序。

使用者的裝置會根據密碼金鑰產生簽名。這類簽章會用於驗證來源與密碼金鑰之間的登入憑證。

無論密碼金鑰儲存位置為何，使用者都可以在任何裝置上使用密碼金鑰登入服務。舉例來說，在手機上建立的密碼金鑰可用於在另一部筆記型電腦上登入網站。

密碼金鑰的運作方式為何？

密碼金鑰適用於作業系統基礎架構，該基礎架構可讓密碼金鑰管理員建立、備份，以及向在該作業系統上執行的應用程式提供密碼金鑰。在 Android 中，密碼金鑰可以儲存在 Google 密碼管理工具中，後者會在使用者登入相同 Google 帳戶的 Android 裝置之間同步處理密碼金鑰。密碼金鑰會在同步處理前在裝置上安全加密，而且必須在新裝置上解密。Android OS 14 以上版本使用者可以選擇將密碼金鑰儲存在相容的第三方密碼管理工具中。

而且不限於提供密碼金鑰的裝置，而是在登入筆記型電腦時使用密碼金鑰，即使密碼金鑰未同步到筆記型電腦，只要手機靠近筆記型電腦，且使用者同意透過手機登入即可。由於密碼金鑰是以 FIDO 標準為基礎，因此所有瀏覽器都可以採用。

舉例來說，使用者在 Windows 電腦上透過 Chrome 瀏覽器造訪 example.com。這位使用者先前已在 Android 裝置上登入 example.com，並產生密碼金鑰。在 Windows 電腦上，使用者選擇使用其他裝置的密碼金鑰登入。這兩個裝置會建立連線，系統會提示使用者核准在 Android 裝置上使用密碼金鑰 (例如透過指紋感應器)。完成這項作業後，這些金鑰會在 Windows 機器上登入。請注意，密碼金鑰本身不會轉移至 Windows 機器，因此 example.com 通常會提供在此步驟中建立新的密碼金鑰。這樣一來，使用者下次想要登入時，就不用使用手機。詳情請參閱「使用手機登入」一文。

哪些人正在使用密碼金鑰？

許多服務已在他們的系統中使用密碼金鑰。

• DocuSign
• Google
  • 密碼的結尾
  • Google 線上安全性網誌：以比以往更快的速度驗證：密碼金鑰和密碼
  • 設計 Google 帳戶密碼金鑰的使用者體驗
• 獨木舟
• Mercari
• NTT DOCOMO
• PayPal
• Shopify
  • 密碼金鑰如何減少電子商務購物體驗的流程
  • 在商店的驗證流程中支援密碼金鑰
• Yahoo! 日本
  • Yahoo! JAPAN 的免密碼驗證機制減少了 25% 的登入時間，登入時間加快 2.6 倍

親自試試

您可以在下列範例中嘗試使用密碼金鑰：https://passkeys-demo.appspot.com/

隱私權注意事項

• 由於使用生物特徵辨識登入可能會讓使用者產生假的曝光，並將機密資訊傳送至伺服器，實際上，生物特徵辨識素材絕不會離開使用者的個人裝置。
• 密碼金鑰本身無法用於追蹤網站之間的使用者或裝置。因為不同的密碼金鑰絕對不會用於多個網站。密碼金鑰通訊協定經過精心設計，不會將與網站共用的資訊當成追蹤向量。
• 密碼金鑰管理工具可以防止密碼金鑰在未經授權的情況下遭到存取及使用。舉例來說，Google 密碼管理工具會以端對端的方式加密密碼金鑰密鑰。只有使用者可以存取及使用，即使系統會將他們備份到 Google 伺服器，也無法用於假冒使用者。

安全性考量

• 密碼金鑰使用公開金鑰密碼編譯。公開金鑰密碼編譯可降低潛在的資料侵害風險。當使用者透過網站或應用程式建立密碼金鑰時，在使用者的裝置上產生一組公開/私密金鑰組。只有公開金鑰由網站儲存，但攻擊者並不實用。攻擊者無法從儲存在伺服器上的資料衍生使用者的私密金鑰，這是為了完成驗證所需的資料。
• 由於密碼金鑰是繫結至網站或應用程式的身分，因此可避免遭受網路釣魚攻擊。瀏覽器和作業系統可確保密碼金鑰只能用於建立金鑰的網站或應用程式。使用者無須再負責登入官方網站或應用程式。

接收通知

訂閱 Google 密碼金鑰開發人員電子報，即可接收密碼金鑰更新的通知。

後續步驟

• Android 和 Chrome 的密碼金鑰支援
• 常見問題
• 用途
• 依賴方的密碼金鑰開發人員指南
• 瞭解如何使用憑證管理工具登入 Android 應用程式