文/鄭宜芬
5月8日為「世界密碼日(World Passkey Day,前 World Password Day)」,FIDO聯盟台灣分會同日辦理2025年第1次會員分享會,由國內多家領導企業,包括IC設計廠神盾、數位身分認證廠商全景軟體、偉康科技、工研院、華碩電腦、台灣資通產業標準協會、外商會員Thales、Swissbit等數十名代表共同參與。會員也響應FIDO聯盟推動Passkey Pledge倡議,攜手推動Passkey(通行密錀)於全球與我國市場的落地應用,邁向更安全、更便利的免密碼時代。
密碼是超過八成資料外洩的根本原因,高達51%的密碼重複使用,使其受到撞庫攻擊。FIDO聯盟指出,Passkey基於FIDO資安標準,能有效防止駭客釣魚攻擊與憑證洩漏問題,金鑰限定特定網址使用,且私鑰無法從信賴方(RP)伺服器中竊取,故可大幅提升使用者登入體驗與資安防護強度,為數位身分驗證的有效實用體驗。
Passkey類別包括裝置綁定通行密鑰,以及同步通行密鑰。全球市場包括金融、零售、醫療、電信等產業已廣泛將Passkey應用在登入流程中,不僅提升安全性,也大幅降低帳號遭盜用與駭客攻擊的發生率。我國市場也緊跟全球脈動,除由數位發展部推動「政府零信任三階段」,金管會也發布「金融業導入零信任架構參考指引」,近年來已有多家公家單位、金融機構、電信業者及科技公司部署FIDO免密碼驗證,應用涵蓋企業內部員工、消費者,到終端使用等多個層面。
企業導入Passkey三項重點
- 應用系統是否支援Passkeys。
- 使用何種認證器建立、管理與認證Passkeys。
- 註冊與復原程序為何?密碼識別後重新設定,並且發放兩隻硬體安全金鑰匙。
Passkey vs. OTP MFA 優勢比較
- 安全性
秘密產生器和身分驗證者(IDP)間無雙向通信,OTP可能在用戶或IDP不知情下被第三方攔截使用。
- 使用者體驗
Passkey即使手機訊號較差,也能正常運作,而MS OTP需要電信網路;自動填充UI支援手機和電腦上的瀏覽器,且登入速度提高四倍、Passkey建立在生物辨識等常見的身分驗證行為之上,可防止密碼打錯。
- 易於佈署
Passkey易於在各種設備和應用程式中實現,不需要整合SMS,亦不須支付其每筆費用,也不需要時間同步。相較之下,SMS、OTP、API缺乏互通性。
- 佈署策略
確定佈署模型、選擇認證器,測試使用者的註冊、身分認證和復原過程。
- 使用者體驗
1. 註冊
身分識別-以強識別機制證明身份。
自動註冊-以現有註冊方式註冊金鑰。
監督註冊-以服務台進行註冊。
預先設置-預製後載具才交給使用者。
遠端使用者-自助服務或預先設置。
2. 登入
關鍵步驟,是成功推出的核心。
3. 復原
備份身分認證器或重新註冊。記錄新裝置的開機/註冊流程。
4. 管理者
關注設備註冊、安全事件、身分識別、密鑰管理、密鑰身份綁定、密鑰刪除。
[ 推薦閱讀:FIDO 技術成資安亮點 Passkey 引領免密碼新趨勢 ]
FIDO聯盟與全球大廠共同加入FIDO Passkey Pledge倡議
Passkey Pledge是FIDO聯盟於今年推出的大型倡議活動,由全球網路服務供應商(如:蘋果、Google、LINE、微軟)、金融業者如萬事達卡、VISA,以及身分認證產品業者包括IDEMIA、HYPR、三星等,承諾在一年內透過具體行動推廣Passkey的應用。鼓勵參與者展示推廣成果,包括提升使用者使用Passkey登入的比例、完成產品Passkey功能的開發或通過FIDO認證,並公開分享推動經驗、面對的挑戰與成果等。本次倡議活動為全球推動免密碼生態系邁向成熟的重要里程碑,將促進Passkey技術的廣泛落地與應用。
此次台灣FIDO會員加入Passkey Pledge,展現出我國廠商積極對接國際資安趨勢、提升使用者體驗與資安防護的決心,也象徵國內產業大幅接受國際標準FIDO應用。
為促進國內資安產業、強化數位經濟推動,FIDO聯盟台灣分會於2025年首場會員分享會中,由數位發展部數位產業署組長林青嶔,說明政府推動資安防護等各項計畫的重點,同時鼓勵與會廠商與國際同步,強化自我開發技術;FIDO聯盟台灣分會會長張心玲則感謝台灣分會所有會員歷年來的支持,並說明FIDO聯盟後續推動項目;工研院專家分享藉由數產署數位信任計畫輔導國內業者導入FIDO的成功案例,包括電商、旅遊,與遊戲等領域,其有效提升資安防護、同時大幅降低業者與消費者的溝通成本;會中並由全景軟體分享聯盟「FIDO Passkey中心」的內容,並分享國際聯盟推動FIDO最新現況,包括Payment工作組成立、PQC各式議題討論等。
FIDO聯盟台灣分會會長張心玲表示:「FIDO免密碼認證不僅是提升資安防護的關鍵,也是改善使用者體驗的重大轉捩點。台灣產業界已具備堅實的資安基礎,我們希望未來有更多公、私部門的導入應用,無論在物聯網供應鏈、金融領域,或是電商場景等各式數位信任應用,透過聯盟之間的合作與創新,加速你我生活邁向更便利與安全的免密碼時代。」
(本文授權非營利轉載,請註明出處:CIO Taiwan)
