吳明宜Google 繼 Android 及 Chrome 支援 passkey 之後再進一步,正式支援以 passkey 登入,取代古早的密碼。
Google 也鼓勵使用者登入 Google 帳號時試用 passkey,強調和解鎖手機一樣的方法,像是以指紋、臉部或螢幕鎖 PIN 。但比密碼好的是,passkey 不怕釣魚攻擊,也比簡訊一次性密碼更安全。因為密碼可能遭外洩、被惡意程式竊取或被暴力破解。
Passkey 是由筆電或手機產生一把專屬裝置的金鑰,然後 Google 帳號會發出數位「關卡」讓 passkey 解鎖並登入。
由於登入過程不會交換任何密碼資料,因此不會給駭客竊取資料的機會。當你以 passkey 登入時,網站只會要求你完成第二步驗證,可能是指紋、臉部影像或螢幕鎖 PIN 碼,以確認登入的人是你本人。
Passkey 的優缺點
去年 Google 宣佈加入微軟和蘋果,支援 passkey,在 Android 及 Chrome 支援 passkey,讓第三方網站也能採用 passkey,但 Google 帳號卻無法正式支援。蘋果則很早就全部支援了。今天在 5 月 4 日世界密碼日,Google 終於趕上進度了。
針對用戶的疑問,Google 提出說明,使用 passkey 不是說每次登入都要使用手機。如果你有多台裝置,像筆電、 PC 、平板,可以每一台裝置都建一個 passkey 。但用戶也可以利用 Google 或蘋果 iCloud Keychain 的密碼同步服務,將 passkey 備份在雲端,然後同步到其他台裝置。這可以防止你手機掉了被鎖住無法登入(也能用別台裝置更新 passkey),使用者也可以利用 iCloud 或 Google 帳號撤銷 passkey 。
但是還是有些限制。因為有些手機無法支援 passkey,因此 Google 帳號還是支援密碼,那麼駭客還是可能用釣魚手法或竊密程式來駭入 Google 帳號。
不過 Google 表示,建立 passkey 讓 Google 可以專注觀察以密碼登入的情形,等 passkey 使用日愈普及,他們就能更從這些登入了解是否有不法存取行為。
來源:PC Magazine