編譯／鄭智懷 長期以來，各界仰賴密碼及各式衍生方案與工具保護手上的實體與數位資產；然而，資安技術的發展使攻擊者 …

編譯／鄭智懷

長期以來，各界仰賴密碼及各式衍生方案與工具保護手上的實體與數位資產；然而，資安技術的發展使攻擊者只要購買或竊取憑據就可以突破重重防守，執行惡意活動。資安公司技術長Jasson Casey表示，結合生物識別、多重要素驗證（MFA）等技術，提供用戶無須任何密碼即可登入設備與帳戶之線上快速身分驗證（FIDO2）服務的時代已經來臨。

Jasson Casey認為，傳統的資安機制要求用戶在不同的設備、帳戶使用不重複的強密碼。然而，上述的作法已經無法因應現代的資安威脅。一方面，大量且冗長的密碼容易使用戶產生疲勞，從而犯下如多組重複密碼輪流使用的錯誤；另一方面，攻擊者可以透過社交工程（Social Engineering）等攻擊方式，說服受害者親手交出手上看似萬無一失的強密碼，而不需任何複雜且可能需要長時間才能奏效的技術，就可獲得欲取得的各式資料。

即使是採用基於密碼概念打造的密碼管理器，用戶也同樣會因上述的攻擊手法將密碼提供給不法分子，使該工具毫無用武之地。此外，由於密碼管理器服務商將各用戶的密碼集中管理，只要攻擊方突破防線，就可以獲得大量可供犯罪活動使用的資料。

而目前流行的多重要素驗證雖然擁有比傳統密碼技術更高的安全性，但實際上也可能因網路釣魚等社交工程攻擊，或是攻擊方直接繞過，入侵用戶設備。

基於上述理由，Jasson Casey主張線上快速身分驗證將成為當前驗證技術的主流。所謂線上快速身分驗證，是由國際身分識別標準組織FIDO Alliance與負責制定網路標準的全球資訊網路聯盟（W3C）共同推動，旨在實現基於無密碼與零信任為基礎的身分驗證技術。用戶只要用手上內建安全模組的裝置，例如手機存放專屬個人的金鑰與生物特徵，就可以在伺服器上執行認證程序。

Jasson Casey強調，線上快速身分驗證同時採用生物識別與多重要素驗證技術，大幅降低社交工程攻擊成功的可能性；該技術的機制還可以減輕中間人，例如前述的密碼管理器服務商受到攻擊，密碼大量洩漏，以及端點攻擊的影響，形成安全團隊與用戶之間的雙贏局面。

資料來源：Help Net Security

這篇文章 為何無密碼時代已經來臨？<a></a> 最早出現於 科技島-掌握科技新聞、科技職場最新資訊。

近日由蘋果（Apple）；微軟（Microsoft）以及谷歌（Google）三巨頭合作開發的 passkey …

近日由蘋果（Apple）；微軟（Microsoft）以及谷歌（Google）三巨頭合作開發的 passkey 標準，即將迎來不需要記取密碼，也能透過其他認證來登入相關裝置與頁面，著實迎接無密碼時代。

是否曾經在輸入密碼頁面，嘗試想著當初使用的是哪組密碼或帳號。我想這是每個電腦使用者都曾經面臨過的畫面。只能點選忘記密碼選項，然後將回復密碼透過信箱或手機再次認證，接著更換新密碼。不過在這樣反反覆覆情況下可能再次搞混或遺忘密碼，缺乏實質解決效益。

這次 passkey 提供了更好的解決方案。雖然感覺上和以往自動填寫密碼功能差不多，也真的是透過雲端儲存密碼和認證資訊；不過 passkey 是在選取完帳號後，將需要提供指紋、臉部辨識或者其他裝置密碼等方式驗證來存取登入。例如電腦裝置上的網頁則是可以透過掃描 QR code 方式，在進行裝置驗證准許密碼資訊存取外，還提供鄰近裝置登入支援。

不僅如此，透過像是 Google Password Manager 享受雲端同步密碼跨裝置使用的便利性，可以從裝置產生私人或公開金鑰密碼，即使不小心搞丟裝置，也能透過僅有你知道的裝置密碼資訊來協助取回 passkey 的存取權。

隨著目前各網頁與系統都在準備配合無密碼體驗，相信很快就可以在手機或電腦使用到這項功能，屆時用戶就能擺脫忘記密碼在腦海中的糾纏了。（記者／劉閔）

這篇文章 不再擔心「失智」 無密碼時代來臨　 最早出現於 科技島-掌握科技新聞、科技職場最新資訊。