當你登入網站時,還記得自己設定的密碼嗎?其實大多人都經歷過這樣的情況,忘記密碼>重設密碼>收驗證信>重新登入。在數位服務越來越普及的今天,密碼早已成為許多人最頭痛的問題之一。而現在一種被稱為 Passkey(通行密鑰)的新技術,正逐漸改變我們登入網站的方式。
Apple、Google、Microsoft 等科技公司已全面支援 Passkey,許多銀行、電商與線上服務平台也開始導入。甚至英國國家網路安全中心(NCSC)也公開建議,當網站支援 Passkey 時,優先使用 Passkey 取代傳統密碼。
Passkey是一種以生物辨識或裝置驗證取代傳統密碼的新型登入方式。使用者不需要記住複雜的英數字組合,也不需要反覆輸入密碼。只要透過指紋或人臉辨識或裝置解鎖,即可完成登入驗證。
簡單來說:過去登入網站時,我們需要證明「我知道正確密碼」。而 Passkey 則改成證明「我就是本人」。 這也是為什麼許多人將 Passkey 稱為「無密碼登入」的重要技術之一。
●使用密碼登入的風險
密碼越安全越難記得住,且為了方便許多人習慣,在不同網站使用相同密碼。造成當某個網站發生資料外洩事件時,駭客往往會利用相同帳密嘗試登入其他平台,也就是說,一次密碼外洩,可能影響的不只是一個帳號。
●AI時代下,傳統驗證方式面臨新挑戰
隨著 AI 技術發展,詐騙與釣魚攻擊也變得更加逼真。因此資安防護的重點已逐漸從「提醒使用者小心」轉向「從技術上降低風險」。
綜合以上因素,Passkey才逐漸受到重視。
Passkey採用的是公開金鑰加密技術。當使用者建立 Passkey 時,系統會產生兩把金鑰:
●私鑰(Private Key)
保存在使用者自己的裝置中(手機、平板或電腦)。私鑰不會傳送給網站,也不會儲存在伺服器上。
●公鑰(Public Key)
儲存在網站伺服器中。網站只負責驗證身分,無法透過公鑰還原出私鑰內容。
當使用者登入時,裝置會利用私鑰完成驗證,而網站則利用公鑰確認驗證結果是否正確。因此即使網站資料庫遭到入侵,駭客取得的也只是無法直接登入的公鑰資料。

從使用者角度來看,最大的差異在於登入體驗與安全性。
傳統密碼需要記憶、輸入與管理,而Passkey 需要使用者的裝置與生物辨識系統處理。對一般使用者而言,最直接的感受往往不是安全性,而是「終於不用一直重設密碼」。

對非營利組織而言,資安不只是技術問題,更關係到支持者信任。
許多組織的系統中,會保存:
這些資料都具有高度敏感性。
當線上捐款與數位服務逐漸普及,組織除了提升服務便利性,也需要同步思考如何降低帳號遭盜用與個資外洩風險。提供了一種兼顧使用便利與身分驗證安全性的選擇。
Passkey 雖然並不會在短時間內完全取代密碼。但從科技產業的發展趨勢來看,越來越多服務正逐步朝向無密碼登入發展。未來,記住大量密碼或許會像撥接上網一樣,逐漸成為數位時代的歷史記憶。
Passkey 改變的不只是登入流程,而是身分驗證的思維。對使用者而言,這代表更便利的登入體驗;對組織而言,則代表更安全的數位服務環境。當越來越多網站開始支援 Passkey,這場從「密碼時代」走向「無密碼時代」的轉變,或許才剛剛開始。