【TechOrange 編輯部導讀】

2022 年,在「世界密碼日」這天,蘋果、Google、微軟共同透過 FIDO 聯盟宣布:「未來一年將實現『無密碼全新功能』。」這意味著使用者將在今年正式迎接無密碼時代。

現在,知名密碼管理器 1Password 也宣布將支援無密碼的 passkey 選項了,未來使用者連「一組密碼」都不必記了?

對現代人來說,要記住個人所有的帳號和密碼幾乎是不可能的事情。隨著資安意識高漲,不同網站開始對密碼設定有著更多、更複雜的要求,也讓人無法再「一組帳密走天下」。為了解決這樣的問題,不論是使用瀏覽器內建的「記憶密碼」功能,或是使用其他需要付費的軟體,「密碼管理器」幾乎變成了現代人的基本標配。

不過,密碼管理器也並非毫無缺點可言,因此也正在不斷的改善和進化中。1Password 是目前全球相當知名的一款密碼管理器,而近日他們也宣布今年夏天全面使用「通行密鑰(passkey)」作為登入的選項。

 1Password 即將推出新功能,密鑰(passkey)是什麼?為何更安全?

密碼管理器的原理主要不是將用戶的密碼一一進行儲存,而是設定一組主密碼,經由快速計算、產生出多種隨機密碼組合,來提高各個網站帳號的安全性。也因此透過 1Password,便可以靠「一組密碼(password)」記住成千上萬組不同的帳號密碼組合。

然而,傳統密碼容易受到網路釣魚詐騙的影響,並可能有被盜或以其他方式洩露數據的風險,導致駭客能夠輕易獲取用戶的個人訊息。 隨著傳統密碼日益漸增的資安問題,如今,1Password 將要捨棄這唯一的「一組密碼」,改向通行密鑰技術(passkey)發展。

passkey 又稱為「多裝置 FIDO 憑證」(Multi-Device FIDO Credential),當使用者要登入網站時,只要將自己的手機當作認證器(Authenticator),就可以透過 PIN 碼或生物辨識進行認證後,極為快速地完成登入流程。

由於 passkey 可橫跨不同的作業系統(Windows、macOS、ChromeOS 以及 iOS、Android),並能用於網站和 App,因此相當便利。

(手機使用 Authenticator APP 的畫面截圖)

另外,由於密鑰登入是在用戶手機或電腦上進行的,因此駭客無法從雲端服務中竊取密碼數據。不能重複使用、不會因伺服器漏洞而遭洩露、能保護用戶免於網路釣魚攻擊等等特點,都能解決傳統密碼帶來的資安風險。

1Password 官方表示,預計今年夏天起,用戶將可以不再使用任何密碼,而僅用 passkey 來新增及解鎖帳號,可望大幅節省個人以及企業員工的作業時間。

FIDO 聯盟在台灣也有分會

而上文提到的「FIDO」,指的是由同名的國際非營利組織 FIDO 聯盟所訂定的一套網路識別標準,主要是為了要確保登入流程中伺服器及終端裝置協定的安全性。

FIDO 聯盟於 2012 年成立,由核心的成員公司 PayPal、Lenovo、Validity Sensors 等科技巨擘以無密碼登入的創新思維為目標,而後續如 Google、微軟、蘋果、英特爾、三星、Meta 等也都成為聯盟的重要會員。FIDO 全球會員共計約 200 家,聯盟以三大原則作為核心:容易使用(ease of use)、隱私安全(privacy and security)以及標準化(standardaization)。

在 2021 年 6 月,國際標準組織 FIDO 聯盟更是在台灣成立了「台灣分會」(FIDO Taiwan Regional Engagement Forum),為台灣資安環境打造國際級的合作與健全的 FIDO 生態系。

本圖/文由「Techorange科技報橘」授權刊登,非經同意不得任意轉載。
原文出處:2023 將是「無密碼元年」——這代表未來我們連一組密碼都不必記!為什麼更安全?