台灣人 Passkey 入門:告別密碼,不是少記一組字,而是把釣魚攻擊變貴
Passkey 的真正價值不是方便登入,而是把「人會被騙」這件事從資安模型裡移除。對台灣使用者來說,銀行、電商、社群帳號應分層導入:先保 Google、Apple、Microsoft、社群與電商,再觀察金融機構是否支援真正的 FIDO2/WebAuthn。
🎯 核心論點 (Thesis) 我認為 Passkey 不是密碼管理器的升級版,而是消費級網路身分的重新定價:攻擊者不能再靠一封假簡訊、假客服、假登入頁,以近乎零成本偷走你的帳號。
📊 數據證據 (Evidence) 先看幾個硬事實。FIDO2/WebAuthn 的核心設計是公私鑰配對,私鑰留在你的手機、電腦或安全金鑰裡,網站只保存公鑰。Google 在 2023 年宣布把 Passkey 作為個人帳號的預設登入選項。Apple 從 iOS 16、macOS Ventura 開始把 Passkey 放進 iCloud Keychain。Microsoft 則把 Windows Hello 與 passkey 帳號登入整合在 Windows 生態裡。 這不是小功能。它改掉了登入的經濟學。
傳統密碼有三個脆弱點:你會重複使用、網站會外洩、你會被釣魚頁騙。Passkey 把這三點拆掉:每個網站拿到的是不同公鑰;資料庫外洩拿不到可直接登入的秘密;假網站無法要求瀏覽器替正牌網域簽章。說白了,釣魚網站就算做得跟真的一模一樣,也拿不到能轉賣的密碼。
🔬 技術深潛 (Technical Deep Dive) 把 Passkey 想成一把「只認地址的印章」。你註冊某個網站時,裝置產生一對鑰匙:公鑰交給網站,私鑰留在本機。下次登入,網站丟一個隨機問題,裝置用私鑰簽名回答。網站用公鑰驗證:答案對,放行。
關鍵在於瀏覽器會檢查網域。bank.example.com 的 passkey 不會被拿去簽 bank-login.example.net。這就是為什麼它抗釣魚。不是因為使用者更聰明,而是因為系統不把危險選項交給使用者。坦白講,這才是好安全設計。
台灣使用者要注意一件事:手機上的「指紋登入」不一定等於 Passkey。有些銀行 App 的生物辨識只是本機解鎖,再加上裝置綁定或 OTP;它改善便利性,但未必是 WebAuthn/FIDO2。真正的 Passkey 會在系統層顯示由 Apple、Google、Microsoft 或硬體安全金鑰管理,並與特定網域綁定。
⚔️ 競爭版圖 (Competitive Landscape)
| 類型 | 代表者 | 現況 | 對台灣人的建議 |
|---|---|---|---|
| 平台帳號 | Apple、Google、Microsoft | 已大規模支援 Passkey | 優先開啟,這些帳號常是其他服務的恢復入口 |
| 社群與通訊 | Meta、X、LINE 等 | 支援程度依服務與地區不同 | 能開就開,尤其是被盜後會牽連朋友與交易詐騙的帳號 |
| 電商與支付 | Amazon、PayPal、部分本地平台 | 國際服務進度較快,本地服務不一 | 高消費、綁卡帳號優先處理 |
| 金融機構 | 銀行 App、證券 App | 多數仍混用裝置綁定、OTP、生物辨識 | 不要把「指紋登入」誤認為完整 Passkey |
| 密碼管理器 | 1Password、Bitwarden、Dashlane | 已支援 passkey 儲存與同步 | 適合跨 Apple/Android/Windows 使用者 |
🏭 供應鏈/產業鏈影響 (Ecosystem Impact) Passkey 會把壓力往三個地方推。
第一是銀行與電商的客服成本。帳號接管少一點,客服驗證、盜刷爭議、退款調查就少一點。這些成本平常藏在營運費用裡,不會漂亮地寫在產品頁上,但 CFO 看得懂。
第二是簡訊 OTP 供應鏈。SMS 驗證不是會消失,但它會從主要防線退到備援流程。這對電信簡訊服務商不是好消息,對 SIM swap 詐騙也不是好消息。
第三是平台權力。Passkey 同步通常依賴 Apple iCloud Keychain、Google Password Manager、Microsoft 帳號或第三方密碼管理器。安全變好了,但身分入口更集中。這不是陰謀,是架構選擇的代價。
新手做法很簡單:先替 Google、Apple ID、Microsoft、主要社群、主要電商開 Passkey;保留至少兩個恢復方式,例如另一台裝置加硬體安全金鑰;銀行 App 則檢查是否明確支援 Passkey、FIDO2 或 WebAuthn。只看到「生物辨識登入」四個字,不要腦補。
🔮 未來情境 (Scenarios) 樂觀情境:台灣大型銀行與電商在登入、轉帳確認、改綁手機三個高風險流程導入 FIDO2。觸發條件是詐騙損失與客服成本高到管理層願意重做身分架構。
基準情境:平台帳號快速 passkey 化,本地金融慢慢跟進。使用者的 Google、Apple、社群帳號先變安全,銀行仍維持 App 綁定、OTP、風控模型的混合方案。這最像現實。
悲觀情境:Passkey 被包成行銷名詞,實作上只是生物辨識加本機 token。使用者以為自己安全了,結果帳號恢復流程仍靠簡訊與客服問答。真正的門沒換,只是換了比較漂亮的門把。
⚠️ 我可能錯在哪裡 (Counter-Argument) 我最大的假設是:平台與金融業會願意讓登入體驗更接近作業系統層,而不是把使用者鎖在自家 App 裡。這可能太樂觀。銀行喜歡控制流程,法遵也偏好可稽核、可截圖、可寫進 SOP 的方案。
另一個盲點是帳號恢復。Passkey 保護登入,但如果恢復流程仍能被社交工程突破,攻擊者會繞路走。安全系統永遠會被最便宜的入口定價。密碼地獄可以結束;客服地獄,還不一定。