密碼安全
7分鐘
通行金鑰 vs 傳統密碼 — 2026年你需要了解的一切
了解通行金鑰(Passkey)的工作原理、與傳統密碼的比較、是否應該開始使用。涵蓋FIDO2、WebAuthn、優缺點及目前普及狀況。
LOCK.PUB
•2026-01-07
通行金鑰 vs 傳統密碼 — 2026年你需要了解的一切
密碼幾十年來一直是保護線上帳戶的標準方式。但它們有眾所周知的問題:重複使用、遺忘、被釣魚攻擊騙取。通行金鑰(Passkey)是業界的解答——一種旨在完全取代密碼的新型身份驗證方式。
本文介紹通行金鑰是什麼、工作原理、相比密碼的優劣勢,以及目前的普及情況。
什麼是通行金鑰?
通行金鑰是一種加密憑證,用來取代使用者名稱和密碼。你不再輸入密碼,而是使用裝置內建的安全功能(指紋、面部辨識或裝置PIN碼)來驗證身份。
通行金鑰基於FIDO2標準,包含瀏覽器使用的WebAuthn API和硬體安全金鑰使用的CTAP。
工作原理(簡化版)
- 註冊:建立通行金鑰時,裝置產生唯一的公鑰-私鑰對。公鑰傳送給網站,私鑰留在裝置上絕不外洩。
- 登入:網站傳送挑戰,裝置在你完成身份驗證後用私鑰簽章,網站用公鑰驗證簽章。
- 沒有共享秘密:與密碼不同,沒有敏感資訊被傳輸或儲存在伺服器上。
通行金鑰 vs 密碼:直接比較
| 因素 | 密碼 | 通行金鑰 |
|---|---|---|
| 防釣魚能力 | 低——可在假網站輸入 | 高——綁定合法網域 |
| 防暴力破解 | 取決於密碼強度 | 免疫——沒有密碼可猜 |
| 資料外洩風險 | 高——雜湊密碼可被破解 | 無——伺服器僅儲存公鑰 |
| 使用者操作 | 需建立、記憶、輸入 | 按指紋或看鏡頭 |
| 重複使用風險 | 非常普遍 | 不可能——每個通行金鑰獨一無二 |
| 2FA需求 | 通常需要額外層 | 內建——裝置持有+生物辨識 |
通行金鑰的優勢
1. 釣魚幾乎被消除
通行金鑰與網站網域進行加密綁定。即使攻擊者建立假登入頁面,通行金鑰也不會運作。
2. 無需記憶
沒有密碼要忘記,沒有複雜度要求,沒有定期更換政策。
3. 沒有密碼可外洩
伺服器只儲存公鑰,資料外洩不會暴露有用資訊。
4. 內建雙重驗證
通行金鑰本質上結合了兩種驗證因素:你擁有的(裝置)和你是誰(生物辨識)。
通行金鑰的限制
1. 裝置依賴性
失去所有裝置存取且未設定復原方式,帳戶復原可能困難。
2. 尚未普遍支援
主要平台已支援,但許多網站尚未實作。
3. 跨平台體驗不一致
iPhone建立的通行金鑰要登入Windows PC需要藍牙和QR碼掃描。
4. 共享帳戶更困難
共享通行金鑰保護的帳戶比共享密碼更複雜。
目前普及狀況(2026年)
| 平台/服務 | 通行金鑰支援 |
|---|---|
| 完全支援 | |
| Apple | 完全支援(iCloud鑰匙圈同步) |
| Microsoft | 完全支援(Windows Hello) |
| Amazon / GitHub / PayPal | 支援 |
| 1Password / Bitwarden | 儲存和同步通行金鑰 |
| 大多數銀行應用 | 有限支援 |
| 大多數中小網站 | 尚未支援 |
需要分享憑證怎麼辦?
通行金鑰解決了安全問題,但帶來了新挑戰:分享。通行金鑰無法像密碼那樣複製貼上。
需要分享團隊帳戶、臨時憑證等情況下,基於密碼的分享仍是實際方案。分享密碼時,不要在LINE等聊天應用中直接貼上。可以在LOCK.PUB上建立有到期時間的加密備忘錄,到期後憑證自動消失。
通行金鑰代表了線上身份驗證領域自密碼發明以來最重大的變革。在支援的地方使用通行金鑰,其他地方保持良好的密碼習慣,這是最務實的做法。
相關關鍵詞
通行金鑰 vs 密碼
什麼是通行金鑰
passkey
FIDO2
無密碼登入
通行金鑰安全