近年來,無密碼登入前景看好,基於FIDO2標準的Passkey,是應用普及的最新焦點。回顧2023年初,FIDO聯盟執行長暨行銷長Andrew Shikiar來臺參加研討會,他預期Passkey(通行密鑰)的潮流,可望促進更多消費端網站應用程式邁向無密碼。

那時已有多家業者擁抱Passkey。例如:國際支付業者PayPal、電子商務平臺業者Shopify,金融服務業者Robinhood,旅遊休閒平臺Kayak,電商購物平臺Best Buy、eBay,都開始支援這項新的安全驗證方式,讓網站服務用戶每次登入不用記憶密碼,透過掃臉或指紋就能安全登入。

因此,我們也持續關切臺灣的網路服務業者,是否重視網路釣魚威脅,針對用戶提供這類更進階的抗網釣MFA,可惜當時並未找到相關案例。

時隔一年後,臺灣已有少數業者率先採取行動,導入Passkey以增強用戶登入體驗與安全性。在這些先行者的帶動之下,臺灣用戶對於Passkey無密碼的接受度,勢必也將隨之提升,促使更多網路服務業者提供這類兼顧快速與安全性的新型登入機制。

為了瞭解國內導入現況與挑戰,這次我們找到3家業者,當中有電商領域的露天市集,還有旅遊服務的可樂旅遊,以及遊戲點數儲值的智冠科技,特別的是,訴求採用Passkey的對象不只是終端消費者(B2C、C2C),也包括合作廠商(B2B)。

提供Passkey無密碼登入的風潮已吹向臺灣,今年我們發現,已有一些消費端的網站與應用程式,提供這項全新登入機制,而且,為了促進民眾使用,這些業者還特別製作宣傳頁面,並搭配獎勵活動,介紹這是免記密碼、讓會員帳號安全升級的登入,來吸引用戶啟用。
儘管業者宣傳用詞不同,但從實際登入過程,我們可以發現,他們的系統操作介面,都會提到Passkey、通行密鑰(或密碼金鑰)。

FIDO2與通行密鑰崛起,成為無密碼普及的關鍵

近年來,FIDO線上身分認證的技術發展,備受各界關注。例如, 可望促進無密碼登入應用普及的FIDO2標準在2018年推出,當時微軟、日本Yahoo,以及美國政府的Login.gov網站服務,很快就提供支援,後續也有更多業者跟進,包括Line、eBay等。

臺灣的無密碼登入推廣也不落人後,從2020年開始,內政部與多家臺灣金融業實際推出FIDO應用,讓民眾登入政府服務、金融業服務,可以使用無密碼的方式驗證身分,較可惜的是,當時這股風潮未能廣泛擴及其他產業。

為了加速FIDO2標準的應用普及,2022年有新突破。主要原因有二:

(一)FIDO聯盟公布多裝置FIDO憑證白皮書,對WebAuthn標準提出突破性的修改,引入了可複製與備份的特性。

(二)FIDO聯盟成員Google、蘋果與微軟,都承諾擴大對FIDO的支援,之後也相繼推動Passkeys,也就是可儲存為Passkey通行密鑰的FIDO憑證,促使FIDO2標準的無密碼體驗更普及。

在此發展態勢之下,使得Passkey一舉躍為最新潮流。如今,全球有越來越多的網路服務,都已提供Passkey支援。

現在臺灣也出現Passkey導入實例。今年我們看到,國內至少已經有3家業者,在他們的網站大力宣傳「Passkey無密碼登入」,或是「FIDO生物識別登入」。

例如,電商服務業露天市集自今年1月開始,已經追隨國際大型電商業者eBay、Amazon的腳步,已陸續為國內用戶提供App與網站的Passkey登入支援。

有更多業者在7月宣傳,像是:可樂旅遊在其網站與App新增FIDO快速登入,智冠科技針對旗下點數儲值平臺MyCard App,提供FIDO生物識別登入。

儘管業者的宣傳用詞不盡相同,但從這些網站或App的實際登入過程,我們發現,操作介面會跳出Passkey、通行密鑰(或密碼金鑰的描述),而透過這些關鍵字的標示,也代表國內這些網路服務業者都已採用FIDO2標準的底層技術,支援Passkey無密碼登入。

提供無密碼登入的考量點,不只提升會員帳號登入安全

關於應用程式與網站服務支援Passkey登入的好處?從三家業者的經驗來看,帳號登入安全性的提升是主要考量,而且,他們也從不同層面獲得效益。

 露天市集 

以電商服務業為例,露天市集提供Passkey登入主要關注3大好處,包括:幫助用戶節省忘記密碼的困擾與時間;支援生物辨識與裝置綁定,確認為本人使用,因此安全性更高;節省企業支付簡訊OTP認證的成本。

露天市集共同營運長周書華表示,他們在10年前就推出「露天代碼產生器」App,當時在國內算是相當新穎的技術,可以提供App形式的兩步驟驗證。

只是,雖然這提供了更安全登入的方式,但對於用戶而言,還要額外開啟App、記住OTP碼並輸入,導致使用率一直沒有顯著成長。相對來說,現在提供的Passkey登入,不僅更可以幫助用戶避免遭受網釣,使用方便性也大增。

再者,去年他們為了提升帳號密碼登入的安全性,擴大簡訊OTP的使用範圍,涵蓋不同裝置、異地登入或超過半年未登入等高風險情境,這也導致他們需要每月發送數十萬封簡訊,如今提供Passkey登入也能降低簡訊發送的成本。

 智冠科技 

另一家率先主推Passkey的臺灣業者,是提供MyCard遊戲點數儲值服務的智冠科技,該公司網路發展部經理李哲瑋表示,他們在預期成效上,聚焦5大重點,包括:提高會員登入安全性、改善密碼登入失敗率,降低密碼登入失敗被鎖定的客訴案件,提升品牌服務滿意度,以及降低簡訊OTP成本。

在此當中,他們最重視會員帳號安全的強化。這是因為,面對詐騙與帳號盜用問題,他們不斷強化MyCard服務的帳號登入安全,像是手機號碼綁定、裝置綁定,以及國別與IP位址的條件驗證。

特別的是,2022年他們針對MyCard App,新增手機生物辨識登入的機制,現在則是新升級為FIDO生物識別登入。李哲瑋指出,前者是單純串接手機本身的生物識別功能,後者是採用FIDO國際標準,因此,這兩種生物辨識,背後其實有明顯的防護強度差異。

 可樂旅遊 

採用Passkey的重要性與效益,也被旅遊服務業者看到。可樂旅遊旅行社資訊系統總經理馬規倫表示,在提供更安全的登入方式之餘,他們還有一個不同的著眼點,那就是希望能夠藉此留住用戶。對於一般人而言,業者若強調強化網站與行動App資安防護,通常會擔心使用方式可能變得複雜、麻煩,而感到排斥,為何反而能因此留住顧客?

他解釋,旅遊服務不是經常交易的商品,換言之,旅遊業的網站或App並非大家每天都在使用的服務,因此,這項機制避免用戶因為忘記密碼而離開,同時能避免用戶遭網釣,提供高安全性。

更進一步來看,提供FIDO快速登入對可樂旅遊的正面形象也有幫助。這是因為,大家對旅遊業的印象多是傳統產業,而他們也想朝向旅遊業中的科技領導產業發展,因此他們需要更多努力。

這次可樂旅遊率先採用Passkey,也大大鼓勵內部創新,他們盼能秉持如此精神,帶動旅遊業的科技發展。

促進用戶體驗新安全登入,以獎勵活動吸引大眾

如何推動新的無密碼登入機制?我們注意到這些業者相當積極,不只是向用戶推廣新的安全登入機制,還會透過舉辦活動的方式,以獎勵用戶為誘因,增加使用者對於新機制的啟用意願。

例如,露天市集為此申請經費、辦獎勵活動,提醒用戶重視帳號安全,號召大家啟用Passkey,就能領取50元露幣,最新一波活動是提供打拋豬炒飯的兌換序號。他們祭出多種措施吸引用戶參與,使更多人實際體驗Passkey登入的便利,也藉此強化用戶帳號登入的保護。

無獨有偶,智冠科技同樣為了宣傳MyCard App升級FIDO生物識別,舉辦啟用即可領點數的活動,最高獎勵為MyCard 10,000點,並搭配抽獎送iPhone手機活動,激勵用戶啟用這項新機制。

而在可樂旅遊的推廣上,亦針對新增的FIDO快速登入舉辦每月抽獎活動,發送可折抵訂單金額的獎項,包括5,000元、1,000元與500元的折扣碼,鼓勵會員做好快速登入的設定。

特別的是,可樂旅遊還提到他們會從公司內部宣導做起,如此才能讓自家人員在與用戶接觸時也能順利向外推廣。

而且,可樂旅遊也在其同業服務平臺提供FIDO快速登入,換言之,他們的應用不僅是提供給一般消費者,也提供給全臺合作的旅遊同業。

國內民眾對Passkey仍感陌生,政府獎勵政策帶動產業升級

這些業者之所以積極對外推廣,我們認為可能有兩大原因。

首先,多數國內消費者不熟悉Passkey無密碼登入,因此,如何讓用戶容易理解啟用新機制的必要性,就是一大考驗。例如,露天市集指出,前兩年他們對此技術抱持觀望態度,主因是考慮國內用戶對Passkey並無概念,教育使用者的成本會很高。

國際間雖然有不少網站服務直接標榜Passkey,像是PayPal、Amazon電商等,但對臺灣廣大消費者而言,仍很陌生。

目前來看,部分國內業者更著重說明採用FIDO國際標準的必要性,因為金融業先前已有推動這項技術,又或者是聚焦在更安全的無密碼登入,更簡單的掃臉與指紋登入,利用一些較為親民的標語,促進民眾願意啟用新機制,以及認識這項技術為何能帶來更高安全性。

其次,政府在這一兩年內,也在設法鼓勵產業導入FIDO技術,成為引領國內企業導入相關應用的重要推手。

這是因為,當我們了解上述業者的導入經驗時,不只是提到大家先前已在關注FIDO技術,想要強化用戶帳號登入安全,他們同時也都指出一個契機,就是政府積極推動打詐,這兩年正推動產相關應用計畫。

具體而言,這是數位發展部數位產業署(數產署)提出的「智慧防詐與數位信任應用發展計畫」,當中就有強調「數位信任場域服務實地驗證」,並規畫出4種類別,FIDO安全身分識別技術就是一例,其他還包括隱碼技術、電子簽章技術、區塊鏈技術。

換言之,數產署希望透過政府的獎勵計畫,促進國內產業在資安與數位信任的技術應用上,能實際採取更多行動。

特別的是,我們在詢問數產署相關負責人時,也就是數產署平台經濟組科長江繼元,他向我們表示,雖然最高獎勵有300萬元,但有一定的門檻,而且,若參與計畫的企業未達成效,獎勵名額也會從缺。這是此計畫的特殊之處,以FIDO項目而言,計畫目的強調需促進民眾使用,因此政府對於申請參與計畫的企業有所要求:每企業的FIDO系統登入至少達3萬人次。甚至,有些企業承諾更高的使用人次,像是智冠科技所訂出的目標,是50萬使用人次。

就目前我們所知,上述業者的使用人次都已經達標,或是差不多達標,而數產署也將在今年11月發表相關成果。 

另一方面,在上述數位信任場域服務實地驗證計畫之前,去年數產署就有不同推動辦法,當時的重點是鼓勵發展相關技術與產品服務,也就是針對資安業者而來,今年則是聚焦在電商、第三方支付、遊戲業者等網路服務產業。

綜觀這些新技術應用的推動,包括政府對資安業者與企業的兩次獎勵計畫,以及服務業者對用戶的獎勵活動,就在這一層層推波助瀾下,確實讓國內首波Passkey應用實例,出現較明顯的進展。

首波支援Passkey業者數量不少,組織內部應用實例也浮出檯面

更進一步來看,國內目前提供Passkey無密碼登入的網路服務業者,其實不只上述這3家,我們在數產署的「數位信任場域服務實地驗證計畫」申請列表中,可以找到更多有意導入的服務業。

例如,申請FIDO項目的有6家業者,不只是露天市集、可樂旅遊、智冠科技,還有全國加油站、雷特遊戲。

值得注意的是,根據數產署的說明,還有一家列於名單的業者是微風廣場,該公司其實也有意導入,但由於這需在一定時間內完成導入與達到成效,因此微風廣場在報名計畫後已表示退出。

政府積極推動打詐,像是數位發展部數位產業署推動數位信任場域服務實地驗證計畫, FIDO安全身分識別技術就是其中一項類別,初期有6家業者參與,包括露天市集、可樂旅遊、智冠科技、雷特遊戲、全國加油站,微風廣場因為時程無法趕上而退出計畫。

對於更多國內導入現況,我們也詢問有協助導入經驗的廠商與FIDO專家,以了解更多情形。

例如,全國加油站的App、HyRead電子書平臺,同樣也採用FIDO2標準的底層技術,支援Passkey無密碼登入。協助這兩家業者導入的凌網科技,該公司副總經理高承億向我們表示,全國加油站在今年8月支援,並是首個實體門店業者應用的案例,HyRead則是他們子公司凌網知識的網路服務,從去年底就開始支援,且帳號登入介面是強調「啟用零信任」,原因是他們在應用FIDO2標準之餘,也加上其他的身分安全認證措施。

關於雷特遊戲的應用上,FIDO聯盟台灣分會會長張心玲指出,該公司是以FIDO取代手遊的傳統密碼登入方式。

上述都是提供給外部使用者的案例,特別的是,也有企業是將FIDO技術應用於公司內部,也就是針對內部使用者的系統登入安全而來,張心玲表示,誠品、中央研究院就是近期的導入實例。

綜觀這些最新進展,我們可以看到無密碼登入在臺的發展,確實已在不同產業間發酵。未來,隨著Passkey無密碼登入的普及,或許用戶對於通行密鑰Passkey這樣的術語,會有更高的接受度,甚至在使用其他線上服務時,可能也會期望並要求相同的身分驗證方法。

 

 Passkey將具備跨裝置使用能力,憑證可攜是關鍵 

關於Passkey登入機制的最新動向,自然是跨多種運算裝置應用的最新發展,而且,這也是先前Passkey被認為能夠促進無密碼登入普及的關鍵。

最近有兩項重大突破,一是Google在9月宣布可跨平臺同步Passkey,另一是FIDO聯盟在10月發表新規範以推動憑證可攜。

首先是橫跨行動裝置平臺、瀏覽器、雲端服務的Google生態系,9月19日Google宣布,在Android與Chrome瀏覽器中,原先可以存放通行密鑰(Passkey)的Google Password Manager,已經可以提供同步Passkey到不同的平臺上使用的能力。

也就是說,當Google用戶無須在各個裝置建立不同通行密鑰Passkeys,只要建立一次,就能使用原先設定的認證方式登入。

FIDO聯盟也有相關進展,他們在10月14日發表新的規範,主要將制定憑證交換協定(CXP)與憑證交換格式(CXF),目的是推動憑證的可攜,也就是促使不同的密碼管理員或生態系統間,能讓憑證安全交換。

這也顯示出,當前的Passkey應用其實仍未完善,而這些新的發展動向,一旦可以打通這些隔閡,將能再次加速Passkey的採用,並且進一步改善用戶體驗。

此外,最近還有科技大廠Amazon發布新的消息,原先他們已在自家的電商網路服務,提供Passkey登入的支援,如今更是打算在即將到來的2025年,積極促成旗下更多應用及服務都能支援Passkey。

 Google推出跨平臺Passkey同步新能力,擴展一組通行密鑰的使用侷限 

9月Google用戶可跨平臺同步使用Passkey,我們也試著體驗其效果。

以支援Passkey無密碼登入的露天市集網路服務為例,當我們在露天市集App申請啟用Passkey後,會在手機端建立並於Google密碼管理工具儲存一組Passkey。

接著我們到Windows電腦操作,在登入Google帳號的Chrome瀏覽器的環境,開啟露天市集網站服務,並且選擇Passkey無密碼登入。此時,介面會跳出「使用已儲存的ruten.com.tw密碼金鑰(通行密鑰)」,點選來自手機型號的那組Passkey,隨後手機會跳出使用螢幕鎖定功能的畫面,通知將使用ruten.com.tw的通行密鑰,此時,我們使用手機原先設定的指紋辨識或人臉辨識,就能以免輸入密碼方式,直接在電腦上登入露天市集會員帳號。攝影/洪政偉

 用戶可以設定多組通行密鑰,期待日後打通生態隔閡 

關於通行密鑰(Passkey)的應用,我們常見到相關的文件說明或介紹,會以a passkey或passkeys來稱呼,顯示平時使用的通行密鑰,可以有很多個。

以提供FIDO快速登入的可樂旅遊網路服務為例,當我們在Windows電腦上,以Chrome瀏覽器開啟可樂旅遊網站,可以在電腦端建立並儲存1組Passkey,並且將這組Passkey置於Windows Hello。若要達到這樣的使用效果,用戶需注意電腦本身是否支援Windows Hello與Passkey。

另一方面,當我們在手機登入可樂旅遊App,也能在手機端建立並儲存1組Passkey、置於Google密碼管理工具。

因此,之後當我們在電腦網頁版使用免輸入密碼的快速登入時,介面會跳出「使用已儲存的www.colatour.com.tw密碼金鑰(通行密鑰)」,接著在這部裝置的選項中,會出現來自Windows Hello的1組Passkey,而在其他裝置的選項中,會出現來自手機型號的1組Passkey。

有了這兩組Passkey,都可以讓使用者以無密碼方式登入其會員帳號。隨著之後不同密碼管理員或生態系統間的隔閡,將會被打通,或許屆時用戶在同一服務就不用建立多組Passkey。攝影/洪政偉

 相關報導 

熱門新聞

Advertisement