對於許多公司而言,通行密鑰正日益普及。這是一種降低網路釣魚風險、改善登入安全,並減少僅依賴密碼驗證所帶來的弱點之實用方法。

然而,企業無法在一夜之間全面更換密碼。通行密鑰的支援範圍已擴展到主要平台、身分提供者和商務工具,但大多數公司仍運行在混合環境中。部分應用程式現已支援通行密鑰,但其他應用程式仍依賴密碼、雙重身分驗證 (2FA) 流程,或用於管理員工作流程和帳號復原的安全問題。

因此,真正的問題不在於密碼是否會在明天消失。而在於您的組織是否應立即開始在最合適的地方為商務帳號採用通行密鑰,以及如何在不給員工或 IT 團隊帶來不必要困難的情況下管理過渡。

什麼是通行密鑰以及其運作方式

通行密鑰以密碼編譯金鑰對取代了傳統密碼。其中一個金鑰是公開的,由服務或應用程式儲存。另一個則是私有的,儲存在使用者的裝置或憑證管理員中。

密碼是使用者與服務之間的共享秘密。通行密鑰移除了共享秘密模型,旨在僅與合法服務進行驗證,而非與旨在獲取登入資訊的虛假網站進行驗證。

當您使用通行密鑰登入服務時,該服務會傳送密碼編譯挑戰。只有當您使用 生物辨識 方法或本地 PIN 碼解鎖裝置後,私有金鑰才會回應。該金鑰永遠不會離開裝置,服務也不會儲存任何等同密碼的秘密,從而避免日後被盜或遭破解。

通行密鑰既安全又易於使用。 您不必輸入密碼,只需選擇想要登入的帳號,並以日常使用的相同方式(無論是 Face ID、指紋、Windows Hello 還是本地 PIN 碼)解鎖裝置即可。

對於企業而言,通行密鑰需要額外考量。通行密鑰雖然安全且實用,但需要適當的管理。通行密鑰由選定的憑證管理員建立、儲存及管理,除非使用其他供應商,否則通常是使用作業系統或瀏覽器內建的標準管理員。

通行密鑰是一項驗證技術,但也是一項管理決策。如果員工要在工作裝置、共享工作流程和多個 SaaS 工具中使用它們,您的企業就需要一套明確的儲存空間、同步、復原及治理方法。

通行密鑰與密碼:企業該如何選擇?

商用通行密鑰的主要安全優勢在於,它們消除了攻擊者在密碼系統中最常利用的幾項弱點。

密碼可能很薄弱,且容易透過暴力破解攻擊被猜中。弱密碼也可能在工作和個人帳號中重複使用。它們可能被網路釣魚、遭攔截,或在第三方資料外洩事件中暴露。即使企業執行嚴格的密碼政策,底層的密碼模型仍然為憑證竊取留下了空間。

通行密鑰改進了該模型。由於驗證是與密碼編譯金鑰對掛鉤,而非共享秘密,因此員工無需在虛假登入頁面輸入密碼,攻擊者也無可重複使用的憑證可竊取並用於他處。通行密鑰僅與其建立時對應的合法服務進行驗證,這使其能夠抵抗旨在模仿真實登入頁面的網路釣魚攻擊。

它們還能降低憑證資料庫遭竊取所帶來的風險。在基於密碼的環境中,資料外洩可能會暴露與密碼相關的資料,這些資料隨後可能會被破解或在憑證填充攻擊中被重複使用。而使用通行密鑰,服務僅儲存公開金鑰,這無法用於重新建立由使用者持有的私有金鑰。這使得大規模的憑證竊取對攻擊者來說用處大減。

對於企業而言,這轉化為實際的安全收益。通行密鑰可以減少與網路釣魚相關的帳號入侵,降低密碼重複使用帶來的風險,並加強對管理員、財務團隊、人力資源和高管等高風險身分的保護。

然而,更強大的驗證並不能取代健全的存取管理。企業仍需要受信任的裝置、明確的身分政策、事件應變方案以及基於角色的存取控制。通行密鑰使驗證層更具韌性,但它們作為更廣泛安全模型的一部分,而非孤立的解決方案時效果最好。

目前企業採用通行密鑰的現狀

對企業而言,市場顯然已走過實驗階段。這種轉變在企業採用數據中已清晰可見。2025 年初,FIDO 聯盟(新視窗)報告指出,在美國和英國受訪的組織中,有 87% 已部署通行密鑰或正在部署過程中,且有 47% 已至少向部分員工部署。在已使用通行密鑰的組織中,62% 報告登入成功率有所提高,58% 報告使用者體驗更好,50% 表示通行密鑰有助於降低與密碼和帳號復原相關的 IT 成本。

通行密鑰在當今是企業的可行選擇,尤其是在身分層、電子郵件環境和高價值管理工作流程中。但仍不能假設現實世界 SaaS 堆疊中的每個應用程式都已準備好全面推行通行密鑰。

許多商務工具、舊版企業應用程式、廠商入口網站和特定領域的 SaaS 產品仍依賴密碼、MFA 模式或尚不完全支援通行密鑰的復原模型。即使主要平台提供通行密鑰支援,該支援也可能無法完整涵蓋每個工作流程、備用路徑或管理情境。

因此,2026 年的採用現狀應被理解為過渡期。通行密鑰是真實、有價值且日益主流的,但混合驗證仍是大多數企業運作的現實。

如何為商用通行密鑰採用混合模式

運作現實是,未來的道路並非與密碼徹底決裂。而是一種混合模式,在可用的地方結合通行密鑰,在仍有必要的地方配合強大的密碼安全性。

在受控程度較高的環境中,特別是當公司能嚴格控制其裝置、身分系統和應用程式存取時,是有可能實現完全的無密碼環境。但這對大多數組織而言並非常態。

在實務上,團隊仍然依賴第三方工具和服務的組合:有些已經支援通行密鑰,而其他則仍然完全依賴密碼或後備憑證來進行復原、管理和舊版工作流程。

採用更務實的採用模式是必要的。企業需要在能有效降低風險的地方引入通行密鑰,特別是在高價值或易受網路釣魚攻擊的環境中,同時繼續保護仍以密碼為基礎的系統。同樣重要的是,企業需要以一種讓員工感到一致的方式管理這兩種模式,且不會在監督或治理方面產生漏洞。

由於通行密鑰尚未普及,密碼管理仍然至關重要。商務密碼管理程式不再只是儲存密碼的地方,它成為了幫助公司管理從一種驗證模式過渡到另一種驗證模式的層級,而不會失去對任何一方的控制。

對企業而言,這意味著採用通行密鑰不僅是驗證技術的問題,也是如何在整個組織中儲存、同步、復原和控管憑證的問題。

深入了解商務無密碼驗證

大多數企業並非一次性地從密碼遷移到通行密鑰,而是管理一個混合環境,其中部分帳號現在可以使用通行密鑰,而其他帳號仍依賴密碼、舊版登入流程或後備憑證。這讓憑證管理變得更複雜,而非更簡單。

在這種情況下,商務密碼管理程式的角色開始轉變。它不再僅僅是儲存密碼的地方,而是成為協助團隊以安全且一致的方式,在各個裝置、瀏覽器和作業系統中管理基於密碼和通行密鑰存取的層級。

Proton Pass for Business 可以協助組織同時支援密碼與通行密鑰。它為企業提供了一種務實的方式,朝向現代驗證邁進,同時不會對那些尚未準備好跟上腳步的系統失去控制。

對於 IT 團隊來說,這不僅從可用性角度來看很重要,從治理角度來看也同樣關鍵。政策執行、雙重驗證執行、稽核日誌、佈署以及基於角色的共享控制都成為過渡過程的一部分。

這使得採用通行密鑰成為一個更廣泛的營運決策,而不僅僅是登入體驗的升級。如果員工在個人裝置和預設取向的消費型工具中以零散的方式建立和管理通行密鑰,您的企業最終可能會面臨復原程序不一致、能見度薄弱以及所有權不明確的問題。託管平台能提供 IT 部門一種支援採用並同時維持監督的方式,從而避免這些問題。

為什麼企業永遠需要存取管理

即便在未來大多數商務系統都支援通行密鑰的情況下,您的組織仍然需要存取管理層。管理存取的挑戰並不會因為密碼消失而隨之消失。

企業仍然需要一致的方式在裝置間儲存和同步憑證、在員工失去裝置存取權時管理復原、控制憑證的共享或授權方式,並在人員加入、變更角色或離開組織時保持存取的能見度。

在這種情況下,企業密碼管理程式的價值從單純儲存密碼,轉變為協助 IT 以更受控、更安全且更具可控管性的方式管理基於通行密鑰的存取。

實施通行密鑰的第一步

並非每個帳號都需要以同樣的速度遷移。應優先針對若遭到入侵會產生最大風險的帳號實施通行密鑰。

  • 管理員帳號通常是最明確的首要任務。如果其中一個帳號遭到網路釣魚或濫用,其影響可能會遠超出單一團隊成員的帳號。
  • 財務團隊是另一個強烈建議優先考慮的對象,因為他們常成為詐騙、付款轉向和高階主管冒名的目標。
  • 人資帳號也值得關注,因為它們通常緊鄰敏感員工數據、入職工作流程以及與身分相關的系統。

除了組織中的工作角色外,從工作流程的角度思考曝險情況也會有所幫助。通行密鑰在員工經常從受控裝置登入高價值系統,且網路釣魚風險確實存在的環境中通常最具意義。這通常包括身分平台、電子郵件生態系統、雲端主控台以及其他安全性敏感的內部工具。

相較之下,低風險的應用程式、極少使用的工具或由供應商控制的系統可能不需要包含在首波推行中,特別是在支援仍受限或復原流程尚未成熟時。分階段進行的方法通常比試圖讓所有系統遵循相同的時間表能產生更好的結果。

如何開始分階段的通行密鑰採用計畫

在商務環境中引入通行密鑰需要有結構的推行。目標是在影響最大的地方引入更強大的驗證,同時在過渡期間保持其餘環境的安全與可管理性。

務實的採用方案通常包含幾個核心步驟:

  • 規劃目前的驗證環境。首先找出哪些工具已支援通行密鑰,哪些支援更廣泛的 FIDO2 或 WebAuthn,哪些與可強制執行防網路釣魚驗證的身分提供商繫結,以及哪些仍然僅限密碼。這能讓您切實瞭解通行密鑰在哪些方面可立即發揮價值,以及哪些現有的登入流程仍需保留。
  • 定義通行密鑰的管理方式。這是導入過程中最重大的決定之一。您需要確定是透過平台原生憑證管理員、第三方工具還是混合方法來處理通行密鑰。一個支援通行密鑰的 企業密碼管理程式 在這方面尤其有價值,因為它有助於減少受支援和不受支援應用程式之間的碎片化。
  • 讓員工為新的登入體驗做好準備。團隊不需要瞭解通行密鑰背後加密技術的技術解釋,但他們確實需要瞭解實務上的變化。這包括登入如何運作、存在哪些復原選項,以及通行密鑰如何與其在其他系統中仍可能需要的密碼並存。良好的導入過程能讓安全的行為變得簡單且熟悉。
  • 在過渡期間保持密碼計畫的強度。通行密鑰可能會隨著時間減少對密碼的依賴,但在這期間並不會消除對強大密碼安全性的需求。企業仍需要不重複的密碼、適時使用雙重驗證、安全共享 控制,以及針對尚未準備好遷移的系統建立明確的生命週期治理。

將通行密鑰視為更廣泛驗證策略的一部分,而非獨立功能時,分階段導入的效果最好。從通行密鑰中獲益最多的公司,通常是那些逐步引入、集中管理,並同時控制其餘憑證環境的公司。

企業對通行密鑰的常見疑慮

如果員工遺失裝置會發生什麼事?

如果遺失的裝置是唯一儲存通行密鑰的地方,員工可能無法登入,直到透過另一個已註冊的裝置、備份 驗證器 或核准的復原程序恢復存取權。通行密鑰的導入不應依賴單一裝置且沒有後備方案。

企業需要預先決定員工將如何重新獲得存取權、誰可以核准復原,以及哪些帳號需要更強大的保護措施。企業密碼管理程式 可以提供協助,在授權裝置之間儲存並同步通行密鑰,進而減少對單一手機或筆記型電腦的依賴,並讓企業能以更受控的方式管理存取連續性。

通行密鑰可以跨多種裝置和作業系統運作嗎?

是的,但體驗取決於通行密鑰的儲存與管理方式。有些組織可能對在員工裝置之間同步通行密鑰感到放心,而其他組織對於高風險角色,則可能更偏好嚴格控制或繫結裝置的方法。重點在於,跨裝置的使用應經過刻意設計,而非假設在每個團隊或環境中的運作方式都相同。

如果部分應用程式支援通行密鑰,而其他仍需要密碼,該怎麼辦?

這是當今大多數企業的現實情況。採用通行密鑰並不要求所有應用程式同時遷移。在實務上,大多數公司將在一段時間內執行混合驗證模式,在受支援之處使用通行密鑰,並對尚未準備就緒的系統維持強大的密碼管理。

通行密鑰會讓密碼管理程式變得不再必要嗎?

並非如此。即使在通行密鑰使用頻率較高的環境中,企業仍需要一種方式來在使用者、裝置和系統之間一致地管理憑證。這包括儲存、同步、存取控制、復原、能見度及治理。換言之,即使憑證類型發生變化,憑證管理的需求依然存在。

通行密鑰現在已準備好用於每個企業系統了嗎?

尚未。支援範圍已顯著擴大,尤其是在各大平台和身分提供商中,但許多企業工具仍依賴密碼、舊有的 MFA 流程或後備復原模型。這就是為什麼分階段採用往往比嘗試過早強制執行全面導入效果更好的原因。

通行密鑰是否消除了對更廣泛存取控制的需求?

不。通行密鑰強化了驗證,但企業仍需要裝置信任、角色存取控制、復原規劃和明確的治理。它們降低了網路釣魚風險並移除了可重複使用的密鑰,但作為更廣泛安全模型的一部分時效果最為理想。

那麼,您的公司應該超越密碼嗎?

對於大多數企業而言,答案是肯定的,但應透過分階段過渡而非一次性替換。如果您的公司已經依賴支援通行密鑰的主要企業平台、面臨顯著的網路釣魚風險,並希望減少對共享密鑰的依賴,那麼現在就值得開始採用通行密鑰。

對於企業來說,這通常會導向一個更明確的結論:在通行密鑰能提供即時安全價值的地方開始採用,在其他所有地方維持 強大的憑證管理,並確保兩者都在安全且治理良好的存取策略下獲得支援。

搭建從密碼到通行密鑰的橋樑

這最終就是通行密鑰在企業中良好採用的樣貌:不是炒作,不是全有或全無的遷移,而是在最關鍵的地方轉向防網路釣魚驗證的受控轉變。

各大平台對通行密鑰的企業支援現在已成為現實。但覆蓋範圍仍然不夠完整,因此大多數企業需要的是橋樑策略,而非立即性的轉型。

這正是 Proton Pass for Business 的用武之地。它能協助團隊安全地管理憑證,始終如一地執行政策,並支援現代驗證工作流程和傳統的密碼系統。存取管理、身分管理和監控對於 IT 團隊來說變得更加輕鬆:Proton Pass 提供集中化管理、SCIM 資源配置、SSO 支援、稽核日誌、保管庫層級的權限以及全公司範圍的政策控制。

如果您的企業已準備好採用通行密鑰並提高密碼安全性,請免費試用我們的 企業密碼管理程式與我們的銷售團隊聯絡