FIDO聯盟響應世界密碼日 企業導入Passkey三重點

文／鄭宜芬

5月8日為「世界密碼日（World Passkey Day，前 World Password Day）」，FIDO聯盟台灣分會同日辦理2025年第1次會員分享會，由國內多家領導企業，包括IC設計廠神盾、數位身分認證廠商全景軟體、偉康科技、工研院、華碩電腦、台灣資通產業標準協會、外商會員Thales、Swissbit等數十名代表共同參與。會員也響應FIDO聯盟推動Passkey Pledge倡議，攜手推動Passkey（通行密錀）於全球與我國市場的落地應用，邁向更安全、更便利的免密碼時代。

密碼是超過八成資料外洩的根本原因，高達51%的密碼重複使用，使其受到撞庫攻擊。FIDO聯盟指出，Passkey基於FIDO資安標準，能有效防止駭客釣魚攻擊與憑證洩漏問題，金鑰限定特定網址使用，且私鑰無法從信賴方（RP）伺服器中竊取，故可大幅提升使用者登入體驗與資安防護強度，為數位身分驗證的有效實用體驗。

Passkey類別包括裝置綁定通行密鑰，以及同步通行密鑰。全球市場包括金融、零售、醫療、電信等產業已廣泛將Passkey應用在登入流程中，不僅提升安全性，也大幅降低帳號遭盜用與駭客攻擊的發生率。我國市場也緊跟全球脈動，除由數位發展部推動「政府零信任三階段」，金管會也發布「金融業導入零信任架構參考指引」，近年來已有多家公家單位、金融機構、電信業者及科技公司部署FIDO免密碼驗證，應用涵蓋企業內部員工、消費者，到終端使用等多個層面。

企業導入Passkey三項重點

• 應用系統是否支援Passkeys。
• 使用何種認證器建立、管理與認證Passkeys。
• 註冊與復原程序為何？密碼識別後重新設定，並且發放兩隻硬體安全金鑰匙。

Passkey vs. OTP MFA 優勢比較

• 安全性

秘密產生器和身分驗證者（IDP）間無雙向通信，OTP可能在用戶或IDP不知情下被第三方攔截使用。

• 使用者體驗

Passkey即使手機訊號較差，也能正常運作，而MS OTP需要電信網路；自動填充UI支援手機和電腦上的瀏覽器，且登入速度提高四倍、Passkey建立在生物辨識等常見的身分驗證行為之上，可防止密碼打錯。

• 易於佈署

Passkey易於在各種設備和應用程式中實現，不需要整合SMS，亦不須支付其每筆費用，也不需要時間同步。相較之下，SMS、OTP、API缺乏互通性。

• 佈署策略

確定佈署模型、選擇認證器，測試使用者的註冊、身分認證和復原過程。

• 使用者體驗

1. 註冊

身分識別－以強識別機制證明身份。

自動註冊－以現有註冊方式註冊金鑰。

監督註冊－以服務台進行註冊。

預先設置－預製後載具才交給使用者。

遠端使用者－自助服務或預先設置。

2. 登入

關鍵步驟，是成功推出的核心。

3. 復原

備份身分認證器或重新註冊。記錄新裝置的開機／註冊流程。

4. 管理者

關注設備註冊、安全事件、身分識別、密鑰管理、密鑰身份綁定、密鑰刪除。

[ 推薦閱讀：FIDO 技術成資安亮點 Passkey 引領免密碼新趨勢 ]

FIDO聯盟與全球大廠共同加入FIDO Passkey Pledge倡議

Passkey Pledge是FIDO聯盟於今年推出的大型倡議活動，由全球網路服務供應商（如：蘋果、Google、LINE、微軟）、金融業者如萬事達卡、VISA，以及身分認證產品業者包括IDEMIA、HYPR、三星等，承諾在一年內透過具體行動推廣Passkey的應用。鼓勵參與者展示推廣成果，包括提升使用者使用Passkey登入的比例、完成產品Passkey功能的開發或通過FIDO認證，並公開分享推動經驗、面對的挑戰與成果等。本次倡議活動為全球推動免密碼生態系邁向成熟的重要里程碑，將促進Passkey技術的廣泛落地與應用。

此次台灣FIDO會員加入Passkey Pledge，展現出我國廠商積極對接國際資安趨勢、提升使用者體驗與資安防護的決心，也象徵國內產業大幅接受國際標準FIDO應用。

為促進國內資安產業、強化數位經濟推動，FIDO聯盟台灣分會於2025年首場會員分享會中，由數位發展部數位產業署組長林青嶔，說明政府推動資安防護等各項計畫的重點，同時鼓勵與會廠商與國際同步，強化自我開發技術；FIDO聯盟台灣分會會長張心玲則感謝台灣分會所有會員歷年來的支持，並說明FIDO聯盟後續推動項目；工研院專家分享藉由數產署數位信任計畫輔導國內業者導入FIDO的成功案例，包括電商、旅遊，與遊戲等領域，其有效提升資安防護、同時大幅降低業者與消費者的溝通成本；會中並由全景軟體分享聯盟「FIDO Passkey中心」的內容，並分享國際聯盟推動FIDO最新現況，包括Payment工作組成立、PQC各式議題討論等。

FIDO聯盟台灣分會會長張心玲表示：「FIDO免密碼認證不僅是提升資安防護的關鍵，也是改善使用者體驗的重大轉捩點。台灣產業界已具備堅實的資安基礎，我們希望未來有更多公、私部門的導入應用，無論在物聯網供應鏈、金融領域，或是電商場景等各式數位信任應用，透過聯盟之間的合作與創新，加速你我生活邁向更便利與安全的免密碼時代。」

(本文授權非營利轉載，請註明出處：CIO Taiwan)