無密碼驗證的未來 (黃岳永)
試想像一下,網上世界就如你居住的地方,每樣東西都存放在相應的房間內,如銀行賬戶、電郵、社交媒體、購物網站等,每個房間都要有相應的鑰匙或密碼才能打開大門進入,那你手上會有多少鑰匙?你又能否記得清楚每條鑰匙的樣子及對應的大門?不過,這個情況即將改變,最近悄悄興起的Passkeys,可能會帶我們進入一個password-free的互聯網世界。
每個人都知道密碼系統並非百分百安全,就算把密碼設計得超級複雜,亦會因網站的資料庫遭黑客入侵,令密碼全部遭竊取外流。如果用單一密碼來管理所有賬戶,看似方便但風險極高,意味任何一個網站的資料被盜,所有個人資料都即時外洩。正因如此,不要用同一密碼或鑰匙來管理所有賬戶,是人人皆知的常識,那Passkeys又是如何打破這「定律」?
繼續以房子為例,在Passkeys系統內,用戶使用的裝置會為他在網上的「房子」創建一把獨一無二的數碼鑰匙,即Passkey;而Passkey機制需要用戶的Touch ID或Face ID進行個人身份認證。這意味即使別人竊去你的鑰匙,但沒有你的指紋面孔,亦無法打開大門。
Passkeys的設計是讓用戶的設備創建及持有數碼鑰匙,那就不需要用戶記住眾多網上密碼,使用網上服務便容易得多。當然有人會提出「手機或電腦遺失了該怎麼辦」的問題。其實,除了遺失,用戶也會因個人需要而更換設備,無論是哪種情況,一旦失去持有Passkeys的電話或裝置,用戶便應馬上使用另一設備「通知」所有大門,忽略舊鑰匙及接受新設備的新鑰匙。這樣便無人可用遺失的鑰匙來打開你的網上大門。
針對網上訊息安全的問題,蘋果公司的iOS系統去年已開始支援Passkeys,Google早前亦宣布將在目前主流作業系統Android與瀏覽器Chrome上提供Passkeys功能,代表用戶不再需要輸入密碼,可直接利用手機驗證解鎖登入。
如今一眾大公司就如熟練的鎖匠,加緊腳步為用戶的網上房子裝鎖配匙,逐步把現有的密碼管理系統過渡至Passkeys的標準。顯示這些科企巨擘亦相信Passkeys是現今可靠的保障用戶網上訊息安全解決方案,希望人們可漸漸習慣使用,實現一個不會再受忘記或洩露密碼而受困擾的美好未來。
Passkeys另一個好處是即使用戶因遇上電話或短訊詐騙而被騙去密碼,也不用擔心資料或金錢被盜。當然,大門再堅固還是需要保持警惕,就如在現實生活中,如果遇到有陌生人來敲門,開門前還是應該先仔細核實對方身份和目的,才能保障自己的安全。