Google帳號支援Passkey登入,強調比密碼、2SV安全方便[轉載自IThome]

  • 繼Android、Chrome後,Google帳號也將支援通行密鑰(Passkey),讓用戶不需記憶密碼或執行兩步驟驗證就能登入旗下服務。

    文/林妍溱 | 2023-05-04發表

    圖片來源: Google

     

    去年10月宣布Android和Chrome支援通行密鑰(Passkey),以及12月釋出的Chrome M108穩定版已開始支援後,Google昨(3)日再宣布,Google帳號將支援以通行密鑰(Passkey)登入旗下服務,讓用戶不需再記憶或管理密碼,也不需再執行兩步驟驗證(2-Step Verification,2SV)。

    從即日起,用戶就可以在個人Google帳號加入Passkey。

    和由一串數字、字母或符號組成的密碼不同,Passkey是由一組金鑰組成,其中的公鑰用於註冊網站或App,私鑰則是存放在用戶裝置上,省去用戶記憶或管理密碼的麻煩。Passkey是基於FIDO 2/WebAuthn標準,可在所有主要平臺及瀏覽器使用,允許用戶透過指紋、臉部及本地端個人識別號碼(PIN)解鎖電腦或手機來登入。

    Passkey比傳統密碼更安全,它只存放在用戶裝置中,無法寫下來,也不會被不小心傳給歹徒,比密碼安全,而且也比2步驟驗證安全而方便;2SV不但多一道手續,也無法完全防範釣魚攻擊(例如可能被攔截簡訊)及SIM卡交換(SIM swap)等精準攻擊。但使用Passkey登入Google帳號,可有效證明用戶使用自己的裝置來登入。少了傳送密碼及驗證碼的過程,讓Passkey可防止網釣攻擊或密碼管理不善,如密碼外洩或同一組密碼重覆用於多個網站,解決了2SV的問題。

    當用戶在Google帳號加入Passkey,Google會在用戶一開始登入,或是執行敏感行動時要求建立Passkey。Passkey本身儲存在手機或電腦上,因此這機制會要求用戶輸入螢幕解鎖的生物辨識(如指紋、臉部辨識)及PIN碼,證實是用戶本人。這生物辨識資料目的在解鎖Passkey,不會分享給Google或其他單位。

    由於每把Passkey只會用於單一帳號,因此也不會有多個帳號共同一組密碼的風險。Google帳號(或其他帳號)也就不會有因共用密碼而被駭的問題。

    針對在多種裝置或不同裝置上使用Passkey是否會很麻煩,Google也做出說明。如果用戶有很多臺裝置,包括PC、筆電或平板,可以為不同裝置建一個passkey。有些平臺則可將用戶Passkey備份到雲端並同步給其他裝置,例如iPhone的Passkey可透過登入iCloud帳號同步給其他蘋果裝置,防止用戶被鎖住無法使用,也能升級Passkey到其他iOS/Mac裝置。

    使用者可以用Passkey/Password同步服務,如Google Password Manager、iCloud Keychain以全程加密來安全同步Passkey。

    要是用戶已建立Passkey,之後又買了新裝置或暫時使用別人的裝置,可在登入時選擇「使用另一臺裝置的Passkey」,再依指示登入。這種作法不會把舊Passkey傳到新裝置上,只是利用這新裝置的螢幕解鎖進行一次性登入。

    若別人的裝置也支援儲存自己的Passkey,Google會分別詢問用戶是否要在那裝置上另外建立新的Passkey。不過Google建議不要這麼做,否則會被其他人用該裝置登入用戶的Google帳號。

    一旦用戶不幸遺失儲存Google帳號Passkey的裝置,且有被別人解鎖的可能,用戶可以到Google帳號設定頁立即註銷。若用戶Google帳號支援遠端刪除,也可以遠端刪掉裝置上的Passkey,尤其是裝置還儲存了其他服務的Passkey。Google說,為Google帳號建立復原密碼或電子郵件以防這類事發生。

    最後,Google表示,在Google帳號加入Passkey只是多一種登入選項,現有方法都還是可使用,以便其裝置不支援Passkey。Google表示,Passkey的普及需要時間,該公司也會關注用戶和應用程式的接納情況。

})(jQuery)