Passkey 無密碼登入完整指南:為什麼密碼即將成為歷史?

2026 年,Passkey(通行金鑰)已從「未來技術」變成日常現實。Apple、Google、Microsoft 的主流平台都已支援,越來越多網站和 App 讓你用指紋或臉部辨識登入,完全不需要密碼。但 Passkey 究竟是什麼?它真的比密碼更安全嗎?過渡期間又該怎麼管理帳號?本文一次說清楚。

一、為什麼密碼是個根本性問題?

傳統密碼存在三個根本性缺陷,即使你用最強的密碼管理習慣也無法完全解決:

1. 伺服器端儲存風險

密碼必須以某種形式儲存在服務商的伺服器(即使是加鹽雜湊後的版本)。一旦伺服器被攻破,密碼雜湊就可能被離線暴力破解。每年都有大規模的資料洩露事件,幾乎都包含使用者的密碼資訊。

2. 釣魚攻擊無法防禦

再複雜的密碼,只要你輸入在了假的網站上,就等於直接交給了攻擊者。即使有雙因素驗證(2FA),即時釣魚攻擊(Real-time Phishing)也能在你輸入 OTP 的瞬間同步傳給攻擊者,完成帳號接管。

3. 人類行為問題

研究反覆證實,人類在面對「強密碼」要求時,往往採用可預測的模式(首字大寫、尾端加數字和特殊符號)。密碼重複使用、弱密碼、便利貼記密碼,這些問題是系統性的,不是個人素質問題。

二、Passkey 的運作原理

Passkey 基於 FIDO2 / WebAuthn 標準,使用公鑰密碼學(Public-key Cryptography)來驗證身份。整個流程可以拆解為兩個階段:

註冊階段

  1. 你的裝置(手機或電腦)生成一對金鑰:私鑰(Private Key)公鑰(Public Key)
  2. 私鑰永遠儲存在你的裝置上,受到裝置的安全晶片(如 iPhone 的 Secure Enclave)和生物辨識保護,絕對不會傳送到伺服器
  3. 公鑰傳送並儲存在服務商的伺服器
  4. 這個公私鑰對只對這個網站/App 有效,不同服務有不同的金鑰對

登入階段

  1. 服務商傳送一個隨機挑戰碼(Challenge)給你的裝置
  2. 你通過生物辨識(指紋/臉部)或 PIN 碼授權,解鎖裝置上的私鑰
  3. 私鑰對挑戰碼進行數位簽名,把簽名發回伺服器
  4. 伺服器用之前存的公鑰驗證簽名,確認是你本人操作,完成登入
理解底層加密:Passkey 的安全性建立在非對稱加密基礎上。AES 加密工具可以幫助你體驗現代加密技術的實際操作,了解密鑰在加密系統中的作用。

三、Passkey 為什麼天然免疫釣魚攻擊?

這是 Passkey 最重要的安全優勢,值得單獨說明。

當你的裝置在進行 Passkey 登入時,它會嚴格驗證目前正在通訊的網站域名,並和金鑰對建立時綁定的域名完全匹配。如果你被釣魚連結帶到 paypa1.com,裝置上為 paypal.com 建立的 Passkey 根本不會出現——因為域名不符,系統直接拒絕。

這和密碼完全不同。密碼只是一串字串,你可以在任何網站輸入任何密碼,系統無法阻止你把正確密碼輸進假網站。Passkey 的防釣魚是技術層面的強制約束,不依賴使用者判斷。

四、Passkey 與密碼的核心比較

面向 傳統密碼 Passkey
儲存位置 伺服器(雜湊後) 使用者裝置(安全晶片)
釣魚防護 依賴使用者辨識 技術層面強制防護
資料洩露影響 密碼雜湊可被破解 公鑰洩露無用,私鑰在裝置
使用便利性 需記憶或使用密碼管理器 生物辨識或 PIN,無需記憶
裝置遺失風險 無影響(密碼存伺服器) 需要備用驗證方式或金鑰同步
跨裝置使用 直接(密碼可在任何地方輸入) 需要金鑰同步(iCloud/Google 帳戶)或備用 Passkey

五、目前 Passkey 支援現況

截至 2026 年,以下主要平台和服務已支援 Passkey 登入:

  • 作業系統平台:iOS 16+、macOS Ventura+、Android 9+、Windows 10/11(Windows Hello)
  • 瀏覽器:Chrome 108+、Safari 16+、Firefox 122+、Edge 108+
  • 主要服務:Google、Apple ID、Microsoft、GitHub、PayPal、Amazon、Yahoo、Adobe、Shopify
  • 金鑰管理器:1Password、Dashlane、Bitwarden 均已支援跨平台 Passkey 同步

目前最大的限制是「部分網站只有部分功能支援」,以及企業環境(Active Directory / 舊版 LDAP)的整合需要額外工作。

六、過渡期如何安全管理帳號

在 Passkey 全面普及之前,你的大多數帳號仍然需要密碼。以下是過渡期的最佳實踐:

現在就能做到的

  • 已支援 Passkey 的服務(Google、Apple ID、GitHub)立刻啟用,親身體驗流程
  • 對所有重要帳號開啟雙因素驗證(2FA),優先使用 TOTP App(如 Google Authenticator)而非 SMS
  • 使用密碼管理器為每個帳號生成獨立的強密碼,徹底避免密碼重複使用

密碼設計原則(在 Passkey 未普及時)

  • 長度優先:12 字元以上的隨機密碼遠比短密碼複雜的組合安全
  • 每個網站一個密碼,絕不重複
  • 使用密碼管理器,不要依賴記憶
立即生成強密碼:密碼產生器可以在瀏覽器本地生成高熵值的隨機密碼,完全不需要上傳到任何伺服器,適合為每個帳號建立獨立強密碼。

七、Passkey 的已知限制與疑慮

平台鎖定(Vendor Lock-in)

早期的 Passkey 實作被綁定在平台生態系(Apple 用 iCloud 同步、Google 用 Google 帳戶同步)。如果你從 iPhone 換到 Android,需要手動轉移所有 Passkey。目前各大密碼管理器(1Password、Bitwarden)已提供跨平台解決方案。

裝置遺失或損毀

如果你的手機是唯一持有 Passkey 的裝置,手機遺失代表你可能暫時無法登入。解決方案是:同時設定多個裝置的 Passkey,或確保帳號有其他備用驗證方式(備用 email、恢復碼)。

共用裝置場景

家庭共用電腦或企業公用裝置上使用 Passkey 需要額外設計(每個使用者的 Passkey 必須綁定各自的生物辨識或 PIN)。這個場景目前的使用者體驗還在持續改進中。

總結

  • Passkey 使用公鑰密碼學,私鑰永遠不離開你的裝置,伺服器洩露也無法危害帳號
  • 技術層面強制防禦釣魚:域名不符時 Passkey 直接不出現
  • 2026 年主流平台和大型服務已廣泛支援,值得立刻嘗試啟用
  • 過渡期仍需密碼的帳號,使用密碼管理器+強密碼+2FA 保護
  • 平台鎖定問題已透過第三方密碼管理器的跨平台同步逐步解決