最近一直在研究無密碼驗證(Passwordless Authentication)這個東西,老實說,到處都把它吹得很神,什麼「網路安全的遊戲規則改變者」之類的。但...你知道的,我對這種「Game Changer」的說法總是先打個問號。
密碼這東西,我們用了幾十年,它很爛,真的很爛。大家都知道,什麼「123456」、「password123」,或是用自己的生日... 這種密碼,駭客根本連猜都不用猜,用程式跑一下就出來了。然後呢,每個網站都要你設一組,誰記得住啊?結果就是一組密碼走天下,只要一個網站被攻破,你全部的帳號都跟著完蛋。這就是所謂的「撞庫攻擊」或「憑證填充攻擊」,超級無腦但又超有效。
所以「無密碼」的概念聽起來就很香。不用再記那些又臭又長的密碼,登入變得又快又簡單。但它真的能解決所有問題,還是只是把舊問題換成新問題?這就是我今天想邊想邊寫,把它理清楚的東西。
重點一句話
我自己是覺得,無密碼登入在「防堵傳統笨賊」和「提升便利性」上,的確是跨時代的進步,但它絕對不是萬靈丹。它消滅了一些老問題,像是釣魚攻擊跟爛密碼,但同時也生出了一些新麻煩,比如說你手機掉了怎麼辦?所以,別把它當神拜,把它當成一個「有著不同取捨」的新工具就好。
所以,到底是怎麼運作的?
講了半天,無密碼到底有哪些花樣?其實我們平常都在用了,只是沒把它們統一叫做「無密碼」而已。大致上就是這幾種:
- 魔法連結 (Magic Links):這個最簡單。你在登入框輸入 Email,網站就寄一封信給你,裡面有個有時效性的連結,點下去,你就登入了。像 Slack 就很常用這招。方便是方便,但說真的,這等於把你的帳號安全,完全賭在你的 Email 信箱安不安全上面。如果你的 Email 被盜,那一切都白搭。
- 生物辨識 (Biometrics):這大家更熟了,手機上的指紋解鎖、臉部辨識都是。Apple 的 Face ID 跟 Touch ID 就是最好的例子。它的邏輯是「你是誰」。因為你的指紋跟臉是獨一無二的...理論上啦。這是目前我覺得體感最好、最無腦的登入方式,手機拿起來、臉對準、或手指按一下,就進去了。
- 一次性密碼 (OTPs):就是你會收到的那種簡訊驗證碼,或是在 Google Authenticator、Authy 這種 App 裡一直跳動的六位數密碼。它背後的邏輯是「你擁有什麼」(你的手機)。這通常用在比較敏感的操作,像是網路銀行轉帳。它比傳統密碼安全,因為密碼是動態的,用一次就失效。
- 推播通知 (Push Notifications):這個也蠻酷的。當你在電腦上要登入某個服務時,你綁定的手機會跳出一個通知,問你「是否同意登入?」,你按個「是」就進去了。像 Microsoft Authenticator 或 Duo Security 都有這個功能。這也算是「你擁有什麼」的變形,確認是你本人在操作。
所以你看,這些方法都不是要你「記住什麼」,而是驗證「你是誰」或「你擁有什麼」。這就從根本上繞過了傳統密碼的記憶負擔和被盜風險。
但...真的有這麼神嗎?聊聊它的天生缺陷
好,吹捧的話說完了,現在要來講點現實的。無密碼絕對不是完美的,它只是把風險從A點轉移到B點。我自己覺得最大的問題有幾個:
1. 新的攻擊手法出現了
以前駭客是想辦法騙你的密碼,現在他們會想辦法騙你的「無密碼」憑證。
- 生物辨識可以被騙嗎? 當然可以。電影演的雖然誇張,但用高解析度照片騙過早期的人臉辨識、用指紋膜騙過指紋感應器,這些都是真實發生過的。而且最可怕的是,密碼被盜了你可以改,你的臉、你的指紋被盜了,你要怎麼辦?這是一輩子的事,這是個很嚴肅的隱私問題。
- 你的手機/Token 就是你的命脈:不管是推播通知、OTP 還是實體金鑰(像 YubiKey),核心都在「你擁有的那個裝置」上。如果你的手機掉了、被偷了,或是中毒被遠端控制了...那駭客就等於拿到了你所有帳號的萬能鑰匙。這比單一密碼外洩還嚴重,因為你可能會被鎖在所有服務之外,連自救的機會都沒有。
2. 導入成本跟整合的痛
對一個大公司來說,要全面換成無密碼系統,那可不是開玩笑的。首先,硬體就要錢,如果要給每個員工都發一個實體安全金鑰,幾千幾萬人下來就是一筆大開銷。再來,很多公司還在用那種十幾二十年的「祖傳系統」,這些老古董根本不支援什麼 FIDO2 或 Passkeys。要嘛花大錢改造,要嘛就是新舊系統並行,搞得 IT 人員一個頭兩個大,反而可能出現新的安全漏洞。
還有啊,你得教育使用者。你以為大家都會用嗎?錯了,永遠會有人問「那個小黑棒是什麼」、「我手機沒電了怎麼登入」、「我不想給公司我的指紋資料」。光是客服跟教育訓練,又要耗掉一堆資源。
3. 這不是萬能解,資安還是要看整體
我自己是覺得,很多人有個誤解,以為用了無密碼就天下太平了。這其實跟以為裝了最高級的門鎖家裡就不會遭小偷一樣。小偷還是可以爬窗戶、鑽洞啊。資安也是一樣,無密碼只是鎖住了「大門」,但駭客還是可以透過軟體漏洞、社交工程攻擊(裝成熟人騙你點惡意連結)等方式入侵。所以它只是整個「縱深防禦」策略中的一環,而不是全部。它必須搭配零信任安全模型 (Zero Trust) 來看,也就是預設所有人都不可信,每次存取都要驗證,這樣才比較完整。
好吧,所以哪種比較適合我?
說了這麼多,感覺好像很複雜。我弄了個簡單的比較表,用一般人的角度來看看這些方法的優缺點。這不是什麼嚴謹的學術分析,就是我自己的使用感覺啦。
| 驗證方式 | 方便性 | 安全性 (我的主觀感受) | 最大的坑 |
|---|---|---|---|
| 魔法連結 (Magic Links) | 蠻方便的,不用記密碼,只要會收信就好。 | 中等。安全性完全綁在你的 Email 上。 | 如果你的 Email 信箱被駭,那就全部掰掰了。 |
| 生物辨識 (臉/指紋) | 超級方便!是我個人最愛的方式,幾乎是無感的。 | 高。要被騙比較難,但不是不可能。 | 你的生物特徵是永久的,外洩了沒得換。還有隱私疑慮。 |
| 一次性密碼 (OTP) | 有點小麻煩。要解鎖手機、打開 App 或看簡訊、然後手動輸入。 | 中高。比靜態密碼強多了,但簡訊 OTP 有被劫持的風險 (SIM Swapping)。 | 手機不見或沒電就GG。而且一直切換 App 其實蠻煩的。 |
| 推播通知 (Push) | 很方便。手機跳出通知,按一下「同意」就好。 | 高。結合了「你知道的事」(解鎖手機) 跟「你擁有的事」(手機本身)。 | 手機要隨時在身邊,而且要有網路。有時候會疲勞轟炸,不小心就按到同意。 |
| 硬體金鑰 (Hardware Keys) | 最麻煩。要隨身帶著一個像 USB 的東西,還得插上去或感應。 | 最高!幾乎無法被遠端釣魚或攻擊。物理上隔絕了。 | 弄丟就超級麻煩!而且要花錢買。也不是所有網站都支援。 |
在台灣的我們,有什麼不一樣?
說到這個,我就想到一個有趣的點。像 FIDO Alliance 這種國際組織一直在推 Passkeys,也就是用你手機或電腦內建的生物辨識來當跨網站的通行證,這在國外越來越流行。Google、Apple、Microsoft 都在推。這算是生物辨識的進化版。
不過呢,反過來看我們在台灣的環境,我自己是覺得,大家還是非常非常習慣「簡訊 OTP」。你去辦任何網路銀行、證券戶、或是政府服務,十個有九個都是叫你收簡訊驗證碼。這點跟全球趨勢有點不太一樣。當然,台灣的「行動電話認證」(像政府的 MyData 平台用的那種)也算是無密碼的一種,利用電信公司的 SIM 卡資訊來驗證身份,這點就蠻有在地特色的。
為什麼有這個差異?我自己猜啦,一方面是簡訊 OTP 的導入成本最低,使用者也不用學新的東西,最直覺。但它的安全性其實是有疑慮的,國外已經有很多 SIM 卡交換攻擊 (SIM Swapping) 的案例,就是駭客騙電信公司把你的門號轉到他的 SIM 卡上,來接收你的驗證碼。雖然在台灣這類攻擊相對少見,但這終究是個風險。所以,當你看到國外文章在大力吹捧 Passkeys 的時候,要記得我們的日常環境,還是以 OTP 為主,這就是一個很實際的在地差異。
常見錯誤與修正
最後整理幾個大家對「無密碼」常有的誤會,或者說,需要修正的想法。
- 錯誤一:以為「無密碼」就等於「絕對安全」。
修正想法:不是「絕對安全」,而是「用不同的方式去承擔風險」。它大大降低了被釣魚、被猜密碼的風險,但提高了裝置遺失或被駭的風險。你要保護的對象從「一組字串」變成「一支手機」。 - 錯誤二:以為所有無密碼方案都一樣安全。
修正想法:完全不是。從上面的表格就知道,魔法連結的安全性跟硬體金鑰根本不在同一個等級上。方便性跟安全性通常是翹翹板的兩端,你要自己取捨。 - 錯誤三:覺得導入無密碼後,就可以不管使用者行為了。
修正想法:錯了,人的因素永遠是資安最弱的一環。以前是教大家不要點釣魚網站連結,現在要教大家保管好手機、不要亂按推播通知、小心保管硬體金鑰。教育訓練永遠不會少。
總結來說,無密碼是個好方向,它讓我們的數位生活更順暢,也確實解決了密碼時代的許多愚蠢問題。但把它看作是資安防護的升級包,而不是讓你無敵的終極裝備,這樣的心態可能會比較健康。
聊了這麼多,換你說說!
在「超方便」跟「超安全」的光譜上,你現在最常用的登入方式是什麼?
- 傳統密碼 (不管,我就愛手動輸入)
- 指紋 / 臉部辨識 (方便就完事了)
- 手機收簡訊 / Authenticator 驗證碼 (多一道手續比較安心)
- 其他 (例如硬體金鑰),歡迎分享!
在下面留言區告訴我你的選擇和理由吧!很好奇大家是怎麼想的。
