Apple 推行通行密鑰

Apple-macOS-Ventura-Passkeys-Safari

網路帶來不少方便,也造成一些困擾。比如說,使用者必須費心記住不同網站的不同帳號密碼,或者擔憂每次登入網站或應用程式時會不會被竊取密碼。現在有個好消息:Apple 推行的無密碼登錄技術 Passkeys(通行密鑰),可減少記憶密碼的必要,也可以有效防止網路釣魚詐騙。

什麼是Apple 通行密鑰?

傳統使用的密碼,是讓使用者註冊自行輸入帳號密碼,這些資訊會儲存在應用伺服器(或網站伺服器)上。以後使用者登入時,必須輸入當初設定的使用者名稱及密碼,經伺服器驗證,確認與伺服器儲存的使用者名稱及密碼無誤後,方予以登入。這種傳統的登入方式加上雙重驗證,算是夠安全,但還是有一些防護不及之處,比如說網路釣魚詐騙。

有別於傳統密碼運作方式,通行密鑰毋需使用者自行輸入一組秘密字詞,而是產生兩組鍵值,其中一組鍵值是公開的,儲存在使用的伺服器或網站上。另一組鍵值是私密的,由使用者的裝置持有。

使用者裝置上儲存的密鑰稱為私密金鑰,伺服器或網站上儲存的被稱為公開金鑰。欲登入網站或應用程式時,使用者裝置會先檢查公開金鑰,驗證通過後,再用對應的私密金鑰予以授權登入。

以上過程都是在背景運作,使用者要做的就是利用 Touch ID 或 Face ID 來辨識身份。由於在使用密鑰登入之前會先驗證伺服器或網站的真實性,故網路釣魚或其他駭入方式無法得逞。

哪些裝置支援通行密鑰?

凡使用 iOS 16、iPadOS 16、macOS Ventura 等系統的 Apple 裝置均支援「通行密鑰」。Apple 推出的「通行密鑰」符合 FIDO 聯盟所訂定「FIDO 認證標準」。FIDO 聯盟成員包含 Google、Apple、Intel 和 Microsoft 等數家科技公司,其所制定出的認證標準即是透過公開金鑰加密的架構,來保護使用者個資安全。因此 Apple 通行密鑰也可視為 FIDO 無密碼驗證機制。

如何在 iPhone、iPad 及 Mac 上使用 Apple 通行密鑰

一開始得先開啟 iCloud 鑰匙圈,如此一來便可在所有 Apple 裝置上同步 Apple 通行密鑰。如要在 iPhone 或 iPad 上啟用鑰匙圈,請至「設定 -> [自己的使用者名稱] -> iCloud -> 鑰匙圈」,開啟「iCloud 鑰匙圈」。

在 Mac 上使用 Apple 通行密鑰

依照下列步驟在 Mac 上啟用 Apple 通行密鑰:

  1. 按一下螢幕左上角的 Apple 圖像,由下拉式選單中選取「系統偏好設定」。
  2. 在面板左方,按一下自己的名字及照片,進入 Apple ID 設定區塊。
  3. 開啟「鑰匙圈」。

開啟 iCloud 鑰匙圈時,可能會被要求雙重驗證方式來認證身份,故在開啟鑰匙圈之前,最好先完成雙重驗證的設定。

Apple 將傳統密碼轉換至通行密鑰的過程變得很簡單流暢。其利用 Touch ID 及 Face ID 等生物辨識方式與「自動填寫」來輸入個人資料。請依照以下說明來建立 Apple 通行密鑰:

  1. 前往支援 FIDO 認證(或通行密鑰)的網站或應用程式(如:Instagram)。
  2. 根據使用者欲使用的功能,按下「註冊」、「設定」或「登入」按鈕。
  3. 自行輸入個人資料,或讓「自動填寫」填入。
  4. 此時網站會要求儲存通行密鑰,按下「儲存密碼」,並以 Touch ID 或 Face ID 識別身份。

通過身份驗證後,系統會為該網站或應用程式建立通行密鑰。下次欲使用 Apple 通行密鑰登入時,按一下「繼續」,選擇通行密鑰作為驗證方式,然後使用 Touch ID 或 Face ID 生物辨識。

在 iPhone 或 iPad 上使用通行密鑰

在 iPhone 或 iPad 上開始使用通行密鑰登入應用程式或網站之前,必須先確定已啟用 iCloud 鑰匙圈:

  1. 打開 iPhone 或 iPad 上的「設定」,向下滑至「密碼」打開選單。
  2. 按一下「密碼選項」。
  3. 確認「自動填寫密碼」 已開啟,並已啟用「iCloud 密碼與鑰匙圈」。

啟用 iCloud 鑰匙圈後,Apple 會要求以雙重驗證方式來認證身份。故在開啟鑰匙圈之前,最好先完成雙重驗證的設定。

無論是在網站/應用程式建立新帳號,或是升級原有帳號以使用通行密鑰,轉換過程都相當簡單,唯一要注意的是該 app 或網站必須正式支援通行密鑰。請依照以下說明在 iPhone 或 iPad 上建立 Apple 通行密鑰:

  1. 前往支援 FIDO 認證(或通行密鑰)的網站或應用程式(如:Instagram)。
  2. 根據使用者欲使用的功能,按下「註冊」、「設定」或「登入」按鈕。
  3. 自行輸入個人資料,或讓「自動填寫」填入。
  4. 輸入資料後,Apple 會詢問是否要儲存通行密鑰
  5. 按下「繼續」,Apple 會利用 Touch ID 或 Face ID 來識別此項變更。

通過身份識別後,Apple 便針對該應用程式或網站建立通行密鑰。此通行密鑰將會同步於使用者名下所有 Apple 裝置。下次登入 app 或網站時,只要按下「繼續」便可利用通行密鑰驗證授權。使用者裝置會利用 Face ID 或 Touch ID 進行生物辨識以便登入。

遺失裝置時如何復原 Apple 通行密鑰

萬一儲存通行密鑰的裝置遺失,可利用名下其他裝置來登入,然後再一次,iCloud 鑰匙圈會在所有 Apple 裝置同步通行密鑰。

不過,要是遺失的是名下唯一一個 Apple 裝置,就必須利用 iCloud 鑰匙圈託管來復原通行密鑰。iCloud 鑰匙圈採用安全的基礎架構,來確保唯有被授權的人員才能復原通行密鑰。

如要使用另一個(或新的)Apple 裝置(Mac、iPhone 或 iPad)來復原 Apple 通行密鑰:

  1. 登入 iCloud 帳號並驗證身份。若登入裝置未受信任,要先藉由以前設定過受信任的電話號碼接收 SMS 簡訊認證。
  2. 輸入裝置的密碼。
  3. 通過身份辨識後,通行密鑰將會重新儲存至新設備。

注意,身分驗證只有 10 次機會。若驗證失敗 10 次,則 iCloud 會永久刪除託管及鑰匙圈紀錄。這項安全機制可防止資訊安全遭受暴力破解式資安攻擊。

常見問題

非 Apple 裝置如何使用通行密鑰?

若網站通行密鑰儲存在 iPhone 上,還是可以由非 Apple 裝置登入該網站。登入時按一下「其他登入選項」,會產生 QR 碼,然後用 iPhone 掃描 QR 碼並使用 Touch ID 和 Face ID 來驗證通行密鑰即可登入。

Apple 是否會讀取通行密鑰?

通行密鑰儲存在 iCloud 鑰匙圈裡,Apple 無法讀取。通行密鑰可同步於使用者名下所有裝置,全都經過點對點加密。

通行密鑰是否全面取代所有網路密碼?

雖然通行密鑰具有完全取代所有網路密碼的潛力,但這需要網站與應用程式的配合改變。只要網站或應用程式願意加入 FIDO 支援,就可以選擇用通行密鑰來登入。