近年来,无密码登入前景看好,基于FIDO2标准的Passkey,是应用普及的最新焦点。回顾2023年初,FIDO联盟执行长暨行销长Andrew Shikiar来台参加研讨会,他预期Passkey(通行密钥)的潮流,可望促进更多消费端网站应用程式迈向无密码。
那时已有多家业者拥抱Passkey。例如:国际支付业者PayPal、电子商务平台业者Shopify,金融服务业者Robinhood,旅游休闲平台Kayak,电商购物平台Best Buy、eBay,都开始支援这项新的安全验证方式,让网站服务用户每次登入不用记忆密码,透过扫脸或指纹就能安全登入。
因此,我们也持续关切台湾的网路服务业者,是否重视网路钓鱼威胁,针对用户提供这类更进阶的抗网钓MFA,可惜当时并未找到相关案例。
时隔一年后,台湾已有少数业者率先采取行动,导入Passkey以增强用户登入体验与安全性。在这些先行者的带动之下,台湾用户对于Passkey无密码的接受度,势必也将随之提升,促使更多网路服务业者提供这类兼顾快速与安全性的新型登入机制。
为了了解国内导入现况与挑战,这次我们找到3家业者,当中有电商领域的露天市集,还有旅游服务的可乐旅游,以及游戏点数储值的智冠科技,特别的是,诉求采用Passkey的对象不只是终端消费者(B2C、C2C),也包括合作厂商(B2B)。
提供Passkey无密码登入的风潮已吹向台湾,今年我们发现,已有一些消费端的网站与应用程式,提供这项全新登入机制,而且,为了促进民众使用,这些业者还特别制作宣传页面,并搭配奖励活动,介绍这是免记密码、让会员帐号安全升级的登入,来吸引用户启用。
尽管业者宣传用词不同,但从实际登入过程,我们可以发现,他们的系统操作介面,都会提到Passkey、通行密钥(或密码金钥)。
FIDO2与通行密钥崛起,成为无密码普及的关键
近年来,FIDO线上身分认证的技术发展,备受各界关注。例如, 可望促进无密码登入应用普及的FIDO2标准在2018年推出,当时微软、日本Yahoo,以及美国政府的Login.gov网站服务,很快就提供支援,后续也有更多业者跟进,包括Line、eBay等。
台湾的无密码登入推广也不落人后,从2020年开始,内政部与多家台湾金融业实际推出FIDO应用,让民众登入政府服务、金融业服务,可以使用无密码的方式验证身分,较可惜的是,当时这股风潮未能广泛扩及其他产业。
为了加速FIDO2标准的应用普及,2022年有新突破。主要原因有二:
(一)FIDO联盟公布多装置FIDO凭证白皮书,对WebAuthn标准提出突破性的修改,引入了可复制与备份的特性。
(二)FIDO联盟成员Google、苹果与微软,都承诺扩大对FIDO的支援,之后也相继推动Passkeys,也就是可储存为Passkey通行密钥的FIDO凭证,促使FIDO2标准的无密码体验更普及。
在此发展态势之下,使得Passkey一举跃为最新潮流。如今,全球有越来越多的网路服务,都已提供Passkey支援。
现在台湾也出现Passkey导入实例。今年我们看到,国内至少已经有3家业者,在他们的网站大力宣传「Passkey无密码登入」,或是「FIDO生物识别登入」。
例如,电商服务业露天市集自今年1月开始,已经追随国际大型电商业者eBay、Amazon的脚步,已陆续为国内用户提供App与网站的Passkey登入支援。
有更多业者在7月宣传,像是:可乐旅游在其网站与App新增FIDO快速登入,智冠科技针对旗下点数储值平台MyCard App,提供FIDO生物识别登入。
尽管业者的宣传用词不尽相同,但从这些网站或App的实际登入过程,我们发现,操作介面会跳出Passkey、通行密钥(或密码金钥的描述),而透过这些关键字的标示,也代表国内这些网路服务业者都已采用FIDO2标准的底层技术,支援Passkey无密码登入。
提供无密码登入的考量点,不只提升会员帐号登入安全
关于应用程式与网站服务支援Passkey登入的好处?从三家业者的经验来看,帐号登入安全性的提升是主要考量,而且,他们也从不同层面获得效益。
露天市集
以电商服务业为例,露天市集提供Passkey登入主要关注3大好处,包括:帮助用户节省忘记密码的困扰与时间;支援生物辨识与装置绑定,确认为本人使用,因此安全性更高;节省企业支付简讯OTP认证的成本。
露天市集共同营运长周书华表示,他们在10年前就推出「露天代码产生器」App,当时在国内算是相当新颖的技术,可以提供App形式的两步骤验证。
只是,虽然这提供了更安全登入的方式,但对于用户而言,还要额外开启App、记住OTP码并输入,导致使用率一直没有显著成长。相对来说,现在提供的Passkey登入,不仅更可以帮助用户避免遭受网钓,使用方便性也大增。
再者,去年他们为了提升帐号密码登入的安全性,扩大简讯OTP的使用范围,涵盖不同装置、异地登入或超过半年未登入等高风险情境,这也导致他们需要每月发送数十万封简讯,如今提供Passkey登入也能降低简讯发送的成本。
智冠科技
另一家率先主推Passkey的台湾业者,是提供MyCard游戏点数储值服务的智冠科技,该公司网路发展部经理李哲玮表示,他们在预期成效上,聚焦5大重点,包括:提高会员登入安全性、改善密码登入失败率,降低密码登入失败被锁定的客诉案件,提升品牌服务满意度,以及降低简讯OTP成本。
在此当中,他们最重视会员帐号安全的强化。这是因为,面对诈骗与帐号盗用问题,他们不断强化MyCard服务的帐号登入安全,像是手机号码绑定、装置绑定,以及国别与IP位址的条件验证。
特别的是,2022年他们针对MyCard App,新增手机生物辨识登入的机制,现在则是新升级为FIDO生物识别登入。李哲玮指出,前者是单纯串接手机本身的生物识别功能,后者是采用FIDO国际标准,因此,这两种生物辨识,背后其实有明显的防护强度差异。
可乐旅游
采用Passkey的重要性与效益,也被旅游服务业者看到。可乐旅游旅行社资讯系统总经理马规伦表示,在提供更安全的登入方式之余,他们还有一个不同的著眼点,那就是希望能够借此留住用户。对于一般人而言,业者若强调强化网站与行动App资安防护,通常会担心使用方式可能变得复杂、麻烦,而感到排斥,为何反而能因此留住顾客?
他解释,旅游服务不是经常交易的商品,换言之,旅游业的网站或App并非大家每天都在使用的服务,因此,这项机制避免用户因为忘记密码而离开,同时能避免用户遭网钓,提供高安全性。
更进一步来看,提供FIDO快速登入对可乐旅游的正面形象也有帮助。这是因为,大家对旅游业的印象多是传统产业,而他们也想朝向旅游业中的科技领导产业发展,因此他们需要更多努力。
这次可乐旅游率先采用Passkey,也大大鼓励内部创新,他们盼能秉持如此精神,带动旅游业的科技发展。
促进用户体验新安全登入,以奖励活动吸引大众
如何推动新的无密码登入机制?我们注意到这些业者相当积极,不只是向用户推广新的安全登入机制,还会透过举办活动的方式,以奖励用户为诱因,增加使用者对于新机制的启用意愿。
例如,露天市集为此申请经费、办奖励活动,提醒用户重视帐号安全,号召大家启用Passkey,就能领取50元露币,最新一波活动是提供打抛猪炒饭的兑换序号。他们祭出多种措施吸引用户参与,使更多人实际体验Passkey登入的便利,也借此强化用户帐号登入的保护。
无独有偶,智冠科技同样为了宣传MyCard App升级FIDO生物识别,举办启用即可领点数的活动,最高奖励为MyCard 10,000点,并搭配抽奖送iPhone手机活动,激励用户启用这项新机制。
而在可乐旅游的推广上,亦针对新增的FIDO快速登入举办每月抽奖活动,发送可折抵订单金额的奖项,包括5,000元、1,000元与500元的折扣码,鼓励会员做好快速登入的设定。
特别的是,可乐旅游还提到他们会从公司内部宣导做起,如此才能让自家人员在与用户接触时也能顺利向外推广。
而且,可乐旅游也在其同业服务平台提供FIDO快速登入,换言之,他们的应用不仅是提供给一般消费者,也提供给全台合作的旅游同业。
国内民众对Passkey仍感陌生,政府奖励政策带动产业升级
这些业者之所以积极对外推广,我们认为可能有两大原因。
首先,多数国内消费者不熟悉Passkey无密码登入,因此,如何让用户容易理解启用新机制的必要性,就是一大考验。例如,露天市集指出,前两年他们对此技术抱持观望态度,主因是考虑国内用户对Passkey并无概念,教育使用者的成本会很高。
国际间虽然有不少网站服务直接标榜Passkey,像是PayPal、Amazon电商等,但对台湾广大消费者而言,仍很陌生。
目前来看,部分国内业者更著重说明采用FIDO国际标准的必要性,因为金融业先前已有推动这项技术,又或者是聚焦在更安全的无密码登入,更简单的扫脸与指纹登入,利用一些较为亲民的标语,促进民众愿意启用新机制,以及认识这项技术为何能带来更高安全性。
其次,政府在这一两年内,也在设法鼓励产业导入FIDO技术,成为引领国内企业导入相关应用的重要推手。
这是因为,当我们了解上述业者的导入经验时,不只是提到大家先前已在关注FIDO技术,想要强化用户帐号登入安全,他们同时也都指出一个契机,就是政府积极推动打诈,这两年正推动产相关应用计划。
具体而言,这是数位发展部数位产业署(数产署)提出的「智慧防诈与数位信任应用发展计划」,当中就有强调「数位信任场域服务实地验证」,并规画出4种类别,FIDO安全身分识别技术就是一例,其他还包括隐码技术、电子签章技术、区块链技术。
换言之,数产署希望透过政府的奖励计划,促进国内产业在资安与数位信任的技术应用上,能实际采取更多行动。
特别的是,我们在询问数产署相关负责人时,也就是数产署平台经济组科长江继元,他向我们表示,虽然最高奖励有300万元,但有一定的门槛,而且,若参与计划的企业未达成效,奖励名额也会从缺。这是此计划的特殊之处,以FIDO项目而言,计划目的强调需促进民众使用,因此政府对于申请参与计划的企业有所要求:每企业的FIDO系统登入至少达3万人次。甚至,有些企业承诺更高的使用人次,像是智冠科技所订出的目标,是50万使用人次。
就目前我们所知,上述业者的使用人次都已经达标,或是差不多达标,而数产署也将在今年11月发表相关成果。
另一方面,在上述数位信任场域服务实地验证计划之前,去年数产署就有不同推动办法,当时的重点是鼓励发展相关技术与产品服务,也就是针对资安业者而来,今年则是聚焦在电商、第三方支付、游戏业者等网路服务产业。
综观这些新技术应用的推动,包括政府对资安业者与企业的两次奖励计划,以及服务业者对用户的奖励活动,就在这一层层推波助澜下,确实让国内首波Passkey应用实例,出现较明显的进展。
首波支援Passkey业者数量不少,组织内部应用实例也浮出台面
更进一步来看,国内目前提供Passkey无密码登入的网路服务业者,其实不只上述这3家,我们在数产署的「数位信任场域服务实地验证计划」申请列表中,可以找到更多有意导入的服务业。
例如,申请FIDO项目的有6家业者,不只是露天市集、可乐旅游、智冠科技,还有全国加油站、雷特游戏。
值得注意的是,根据数产署的说明,还有一家列于名单的业者是微风广场,该公司其实也有意导入,但由于这需在一定时间内完成导入与达到成效,因此微风广场在报名计划后已表示退出。
政府积极推动打诈,像是数位发展部数位产业署推动数位信任场域服务实地验证计划, FIDO安全身分识别技术就是其中一项类别,初期有6家业者参与,包括露天市集、可乐旅游、智冠科技、雷特游戏、全国加油站,微风广场因为时程无法赶上而退出计划。
对于更多国内导入现况,我们也询问有协助导入经验的厂商与FIDO专家,以了解更多情形。
例如,全国加油站的App、HyRead电子书平台,同样也采用FIDO2标准的底层技术,支援Passkey无密码登入。协助这两家业者导入的凌网科技,该公司副总经理高承亿向我们表示,全国加油站在今年8月支援,并是首个实体门店业者应用的案例,HyRead则是他们子公司凌网知识的网路服务,从去年底就开始支援,且帐号登入介面是强调「启用零信任」,原因是他们在应用FIDO2标准之余,也加上其他的身分安全认证措施。
关于雷特游戏的应用上,FIDO联盟台湾分会会长张心玲指出,该公司是以FIDO取代手游的传统密码登入方式。
上述都是提供给外部使用者的案例,特别的是,也有企业是将FIDO技术应用于公司内部,也就是针对内部使用者的系统登入安全而来,张心玲表示,诚品、中央研究院就是近期的导入实例。
综观这些最新进展,我们可以看到无密码登入在台的发展,确实已在不同产业间发酵。未来,随著Passkey无密码登入的普及,或许用户对于通行密钥Passkey这样的术语,会有更高的接受度,甚至在使用其他线上服务时,可能也会期望并要求相同的身分验证方法。
Passkey将具备跨装置使用能力,凭证可携是关键
关于Passkey登入机制的最新动向,自然是跨多种运算装置应用的最新发展,而且,这也是先前Passkey被认为能够促进无密码登入普及的关键。
最近有两项重大突破,一是Google在9月宣布可跨平台同步Passkey,另一是FIDO联盟在10月发表新规范以推动凭证可携。
首先是横跨行动装置平台、浏览器、云端服务的Google生态系,9月19日Google宣布,在Android与Chrome浏览器中,原先可以存放通行密钥(Passkey)的Google Password Manager,已经可以提供同步Passkey到不同的平台上使用的能力。
也就是说,当Google用户无须在各个装置建立不同通行密钥Passkeys,只要建立一次,就能使用原先设定的认证方式登入。
FIDO联盟也有相关进展,他们在10月14日发表新的规范,主要将制定凭证交换协定(CXP)与凭证交换格式(CXF),目的是推动凭证的可携,也就是促使不同的密码管理员或生态系统间,能让凭证安全交换。
这也显示出,当前的Passkey应用其实仍未完善,而这些新的发展动向,一旦可以打通这些隔阂,将能再次加速Passkey的采用,并且进一步改善用户体验。
此外,最近还有科技大厂Amazon发布新的消息,原先他们已在自家的电商网路服务,提供Passkey登入的支援,如今更是打算在即将到来的2025年,积极促成旗下更多应用及服务都能支援Passkey。
Google推出跨平台Passkey同步新能力,扩展一组通行密钥的使用局限
9月Google用户可跨平台同步使用Passkey,我们也试著体验其效果。
以支援Passkey无密码登入的露天市集网路服务为例,当我们在露天市集App申请启用Passkey后,会在手机端建立并于Google密码管理工具储存一组Passkey。
接著我们到Windows电脑操作,在登入Google帐号的Chrome浏览器的环境,开启露天市集网站服务,并且选择Passkey无密码登入。此时,介面会跳出「使用已储存的ruten.com.tw密码金钥(通行密钥)」,点选来自手机型号的那组Passkey,随后手机会跳出使用萤幕锁定功能的画面,通知将使用ruten.com.tw的通行密钥,此时,我们使用手机原先设定的指纹辨识或人脸辨识,就能以免输入密码方式,直接在电脑上登入露天市集会员帐号。摄影/洪政伟
用户可以设定多组通行密钥,期待日后打通生态隔阂
关于通行密钥(Passkey)的应用,我们常见到相关的文件说明或介绍,会以a passkey或passkeys来称呼,显示平时使用的通行密钥,可以有很多个。
以提供FIDO快速登入的可乐旅游网路服务为例,当我们在Windows电脑上,以Chrome浏览器开启可乐旅游网站,可以在电脑端建立并储存1组Passkey,并且将这组Passkey置于Windows Hello。若要达到这样的使用效果,用户需注意电脑本身是否支援Windows Hello与Passkey。
另一方面,当我们在手机登入可乐旅游App,也能在手机端建立并储存1组Passkey、置于Google密码管理工具。
因此,之后当我们在电脑网页版使用免输入密码的快速登入时,介面会跳出「使用已储存的 相关报导