密碼金鑰
簡介
密碼金鑰是比密碼更安全、更簡單的替代驗證方法。使用者可透過生物特徵辨識感應器 (例如指紋或臉部辨識)、PIN 碼或解鎖圖案登入應用程式和網站,不必再費心記住或管理密碼。
開發人員和使用者都討厭密碼:密碼會導致使用者體驗不佳、增加轉換阻力,並為使用者和開發人員帶來安全責任。Android 和 Chrome 中的 Google 密碼管理工具可透過自動填入功能減少阻力;對於希望進一步提升轉換率和安全性的開發人員來說,密碼金鑰和身分識別聯盟是業界的現代方法。
密碼金鑰可有效防範網路釣魚攻擊,登入時也不必再提示使用者輸入簡訊或應用程式傳送的一次性密碼。由於密碼金鑰是標準化的,因此只要實作一次,使用者就能在所有裝置、不同瀏覽器和作業系統中,享有免密碼體驗。
開發人員和使用者都討厭密碼:密碼會導致使用者體驗不佳、增加轉換阻力,並為使用者和開發人員帶來安全責任。Android 和 Chrome 中的 Google 密碼管理工具可透過自動填入功能減少阻力;對於希望進一步提升轉換率和安全性的開發人員來說,密碼金鑰和身分識別聯盟是業界的現代方法。
密碼金鑰可有效防範網路釣魚攻擊,登入時也不必再提示使用者輸入簡訊或應用程式傳送的一次性密碼。由於密碼金鑰是標準化的,因此只要實作一次,使用者就能在所有裝置、不同瀏覽器和作業系統中,享有免密碼體驗。
密碼金鑰更簡單
使用者可以選取要登入的帳戶。不必輸入使用者名稱。
使用者可以透過裝置的螢幕鎖定方式 (例如指紋感應器、臉部辨識或 PIN 碼) 進行驗證。
建立及註冊密碼金鑰後,使用者就能順暢切換至新裝置,並立即使用,不必重新註冊 (傳統生物特徵辨識驗證則必須在每部裝置上設定)。
密碼金鑰更安全
密碼金鑰可保護使用者免於網路釣魚攻擊。密碼金鑰只能用於使用者註冊的網站和應用程式;由於驗證作業是由瀏覽器或作業系統處理,使用者不會受騙而在欺騙性網站上進行驗證。
開發人員只會將公開金鑰儲存到伺服器,而非密碼,因此惡意行為者入侵伺服器後能取得的價值較低,發生違規事件時需要清理的資料也較少。
密碼金鑰可避免傳送簡訊,因此能降低成本,是更安全且具成本效益的驗證方式。
什麼是密碼金鑰?
密碼金鑰是與使用者帳戶和網站/應用程式綁定的數位憑證。使用者只要有密碼金鑰,就不必輸入使用者名稱或密碼,也不必提供任何額外的驗證要素,即可完成驗證。這項技術旨在取代密碼等舊版驗證機制。
使用者想登入使用密碼金鑰的服務時,瀏覽器或作業系統會協助選取並使用正確的密碼金鑰。這項功能與目前的儲存密碼功能類似。為確保只有合法擁有者可以使用密碼金鑰,系統會要求使用者解鎖裝置。這項操作可透過生物特徵辨識感應器 (例如指紋或臉部辨識)、PIN 碼或解鎖圖案完成。
如要建立網站或應用程式的密碼金鑰,使用者必須先向該網站或應用程式註冊密碼金鑰。
- 前往應用程式,然後使用現有登入方式登入。
- 按一下「建立密碼金鑰」按鈕。
- 檢查與新密碼金鑰一併儲存的資訊。
- 使用裝置螢幕解鎖功能建立密碼金鑰。
使用者返回這個網站或應用程式登入時,可以採取下列步驟:
- 前往應用程式。
- 輕觸帳戶名稱欄位,自動填入對話方塊會顯示密碼金鑰清單。
- 選取密碼金鑰。
- 解鎖裝置螢幕,完成登入程序。
親自試試
您可以在這個示範模式中試用密碼金鑰
密碼金鑰如何運作?
密碼金鑰會在裝置上加密,然後再進行同步,因此在新裝置上必須解密才能使用。密碼金鑰可以儲存在 Google 密碼管理工具等密碼管理工具中,並在使用者登入相同 Google 帳戶的 Android 裝置和 Chrome 瀏覽器之間同步。如果使用者搭載 Android OS 14 以上版本,也可以選擇將密碼金鑰儲存在相容的第三方密碼管理工具。
使用者不限於只能在密碼金鑰可用的裝置上使用密碼金鑰。只要手機在筆電附近,使用者在手機上核准登入,即使密碼金鑰未同步到筆電,也能在登入筆電時使用手機上的密碼金鑰。密碼金鑰採用 FIDO 標準,因此所有瀏覽器都能採用。
使用者不限於只能在密碼金鑰可用的裝置上使用密碼金鑰。只要手機在筆電附近,使用者在手機上核准登入,即使密碼金鑰未同步到筆電,也能在登入筆電時使用手機上的密碼金鑰。密碼金鑰採用 FIDO 標準,因此所有瀏覽器都能採用。
隱私權優點
重要事項:設計密碼金鑰時,我們將使用者隱私權納入考量。以下列出使用者可能提出的幾項疑慮,為安撫使用者,開發人員應在 UI 中加入令人安心的訊息 (例如「使用密碼金鑰時,網站或應用程式絕不會取得使用者的生物特徵辨識資訊,生物特徵辨識資料也不會離開使用者的個人裝置」),並建立常見問題或支援文章,提供更多說明。
因為使用生物特徵辨識登入可能會讓使用者誤以為系統會將私密資訊傳送至伺服器。事實上,生物特徵辨識資料絕不會離開使用者的個人裝置。
單獨使用密碼金鑰無法在網站之間追蹤使用者或裝置。同一組密碼金鑰絕不會用於多個網站。密碼金鑰通訊協定經過精心設計,因此與網站分享的資訊不會做為追蹤向量。
密碼金鑰管理工具可保護密碼金鑰,防止未經授權的存取和使用。舉例來說,Google 密碼管理工具會對密碼金鑰密碼進行端對端加密。只有使用者本人可以存取及使用這些金鑰,而且即使金鑰已備份到 Google 伺服器,Google 也無法使用這些金鑰冒充使用者。
安全防護優勢
由於密碼金鑰會與網站或應用程式的身分識別資訊綁定,因此不會遭到網路釣魚攻擊。瀏覽器和作業系統會確保密碼金鑰只能用於建立該金鑰的網站或應用程式。這樣一來,使用者就不必負責登入正版網站或應用程式。
-
密碼金鑰採用公開金鑰密碼編譯技術。
公開金鑰密碼編譯可降低潛在資料外洩的威脅。使用者透過網站或應用程式建立密碼金鑰時,裝置會產生一組公開/私密金鑰。網站只會儲存公開金鑰,但光是這樣對攻擊者來說毫無用處。攻擊者無法從伺服器上儲存的資料衍生使用者的私密金鑰,而這是完成驗證的必要條件。 -
防範網路釣魚攻擊
由於密碼金鑰會與網站或應用程式的身分識別資訊綁定,因此不會遭到網路釣魚攻擊。瀏覽器和作業系統會確保密碼金鑰只能用於建立該金鑰的網站或應用程式。這樣一來,使用者就不必負責登入正版網站或應用程式。
其他資源
- 密碼金鑰個案研究
- 用途
- 密碼金鑰:適用於信賴方的開發人員指南
- 訂閱 Google 密碼金鑰開發人員電子報,接收密碼金鑰的最新消息。