每次登入帳號或解鎖裝置時,都必須證明自己已獲授權可存取該帳號或裝置。過去,這種證明通常是密碼:一串需要記住的秘密字串,或儲存在密碼管理程式中的資訊。
通行密鑰與密碼的不同之處在於,它會將存取權綁定到您實際持有的事物上——像是儲存在手機、筆電或安全金鑰中的加密權杖——並搭配生物辨識因素,例如指紋或臉部掃描。
常見的說法如下:
- 密碼 = 你知道的東西
- 通行密鑰 = 你擁有的東西 + 你是誰
雖然這兩種方法都能讓您存取帳號,但它們達成此目標的方式不同,並且會大幅影響安全性與可用性。
什麼是通行密鑰?
通行密鑰就像是存在您裝置上的密碼,並可透過密碼學由您要登入的帳號進行驗證。通行密鑰是以 FIDO2 標準(由FIDO Alliance(新視窗)制定)和 WebAuthn 應用程式介面為基礎。
運作方式如下:
建立通行密鑰時,您的密碼管理程式會產生一組成對的加密金鑰:公開金鑰和私有金鑰。
- 公開金鑰會與您註冊的服務共享。
- 私有金鑰會保留在您的密碼管理程式或裝置上,且絕不會離開該處。
在嘗試登入時,服務會發出隨機挑戰。您的裝置會使用裝置上的私有金鑰為該挑戰簽名,產生只有相符私有金鑰才能生成的回應。接著,服務會使用先前已儲存的公開金鑰驗證該簽名,以確認您是合法的帳號持有人。
由於私有金鑰絕不會離開您的裝置,因此網路釣魚網站無法誘騙您交出它,這也讓通行密鑰天生具備防網路釣魚能力。
安全性比較:通行密鑰 vs 密碼
要使用密碼還是通行密鑰,取決於多種因素。並非每個網站都提供通行密鑰選項。但對於有提供的網站來說,確實有幾個理由值得考慮改用通行密鑰。
通行密鑰被認為比密碼更安全,因為秘密金鑰絕不會離開您的裝置。即使有人用假網站誘騙您、竊取網路流量,或嘗試發動暴力破解攻擊,他們也無法取得私有金鑰——它會保存在您的手機、電腦或安全金鑰硬體中。只要您使用 PIN、指紋或其他形式的雙重身分驗證 (2FA)來保護裝置,並具備可靠的復原方法,通行密鑰就能提供比一般密碼更強大、更能防範網路釣魚的安全設定。
| 功能 | 通行密鑰 | 密碼 |
| 驗證方式 | 公開金鑰密碼學(私有金鑰已儲存在裝置上) | 由使用者記住的秘密字串 |
| 防網路釣魚能力 | 高 | 低 |
| 復原選項 | 裝置備份、帳號復原流程 | 透過電子郵件重設、安全性問題 |
| 使用者體驗 | 生物辨識或 PIN | 手動輸入或自動填入 |
| 相容性 | 持續增加中 | 普遍支援 |
| 重複使用弱點 | 每個網站一律唯一 | 常見問題 |
通行密鑰的可用性與使用者體驗
除了使用通行密鑰在安全性上的優勢外,還有其他好處:
- 通行密鑰可讓登入更快速,因為驗證流程縮減為一次輕點或看一眼即可完成,省去手動輸入密碼或重設忘記密碼的麻煩。
- 許多密碼管理程式都能在您的裝置之間安全同步通行密鑰。因此,在智慧型手機上建立的通行密鑰,也能在筆電、平板或另一支手機上使用,而無需重新註冊。Proton Pass 可在任何平台或裝置上運作,因此您可以在任何支援通行密鑰的網站上使用它們。
通行密鑰的缺點與邊緣情況
雖然通行密鑰提供強大的安全性與流暢無阻的登入體驗,但它並非萬靈丹。某些情況下,使用通行密鑰仍可能帶來挑戰。
裝置遺失與復原
如果儲存通行密鑰的裝置遺失、遭竊或損壞,您就必須依賴備份機制來重新取得存取權。復原通行密鑰通常需要次要裝置或復原短語,因此如果沒有設計完善的復原流程,您就有可能失去帳號的存取權。
採用落差
有些網站和應用程式尚未實作支援通行密鑰的 WebAuthn/FIDO2 標準。即使已支援,通行密鑰支援也可能受限於特定生態系或作業系統。
較舊硬體的限制
舊版裝置,例如較舊的智慧型手機、沒有生物辨識感測器的筆電,或缺乏 WebAuthn 支援的瀏覽器,都無法產生或儲存通行密鑰。
什麼情況下我仍需要密碼?
除了將密碼設定為備用方式之外,在某些情況下,傳統密碼仍然必須作為主要存取方式。
1. 不支援通行密鑰的網站
在通行密鑰尚未普及之前,您可能仍需在某些網站依賴密碼。 在這種情況下,您可以設定 OTP 等雙重驗證方法來提升安全性。
2. 公用或共享電腦情境
如果您使用的不是自己的裝置,輸入密碼(理想情況下搭配雙重驗證)可讓您暫時存取,而不會留下持續有效的憑證。
3. 組織政策與法規遵循要求
公司規範,包括政府或金融標準,可能要求多重要素設定中仍包含密碼這一項,或基於稽核目的強制定期輪換密碼。此外,企業單一登入 (SSO)解決方案有時只將通行密鑰整合為選用因素,而密碼仍是主要憑證。
如何採用通行密鑰
改用通行密鑰相對簡單。
- 在您的作業系統中啟用通行密鑰支援
- 下載密碼管理程式
- 選擇支援儲存通行密鑰的密碼管理程式,例如 Proton Pass。
- 將通行密鑰新增至您的密碼管理程式
- 從應用程式直接匯入現有的通行密鑰,或建立新的通行密鑰。
- 在支援的服務上註冊通行密鑰
- 當您在提供「使用通行密鑰登入」的網站上註冊或登入時,請選取該選項。
- 設定復原方法
- 啟用次要裝置以儲存通行密鑰的副本,並記下服務提供的任何復原短語。
常見問題
如果沒有密碼管理程式,我可以使用通行密鑰嗎?
可以。大多數現代作業系統都會在本機儲存通行密鑰(Apple 裝置上的 iCloud Keychain、Android 上的 Google Password Manager、Windows 上的 Windows Hello)。專用的密碼管理程式可以簡化跨裝置同步,並提供額外的備份層,但使用通行密鑰並非一定需要它。
我可以在較舊的裝置上使用通行密鑰嗎?
通行密鑰需要作業系統與瀏覽器支援 WebAuthn/FIDO2 標準。現代平台(iOS 15+、Android 14+、近期版本的 macOS、Windows 10 1903+,以及最新版 Chrome/Edge/Firefox/Safari)可直接使用。較舊的手機、舊版瀏覽器,或 iOS 15/Android 13 之前的裝置缺乏該支援,因此您無法在那些裝置上使用通行密鑰。
通行密鑰與實體權杖有什麼差別?
通行密鑰是一種儲存在裝置或密碼管理程式中的憑證,並可在您的裝置之間安全同步。實體權杖(例如 YubiKey)則是獨立的硬體金鑰,您需要將其插入裝置中。實體權杖不會將私有金鑰儲存在主機裝置上,因此可提供隔離性,但也要求您隨身攜帶權杖並管理備份。這兩種選項都提供免密碼、可防範網路釣魚的驗證方式,但通行密鑰更重視便利性與同步,而實體權杖則更重視硬體隔離。
我可以在 Windows PC 上使用通行密鑰嗎?
可以,現代版 Windows 10/11 可透過 Windows Hello 支援通行密鑰。在「設定」中啟用「無密碼登入」後,您即可透過指紋、臉部辨識或 PIN 來註冊及驗證,而這些方式會解鎖儲存在受信任平台模組 (TPM) 中的私有金鑰。TPM 是內建於大多數現代 PC、筆電和部分平板中的微小防竄改晶片,其用途是為安全性關鍵作業提供硬體信任根。
如果我遺失手機會怎樣?
如果您的手機持有唯一一份通行密鑰,您將需要預先設定好的備份方法來復原存取權。通常這會是另一部裝置、一個密碼管理程式,或服務提供的復原短語。若沒有備份,您就必須遵循該服務的帳號復原流程。
