英國呼籲改用通行密鑰取代密碼,以提升帳戶安全
UK cyber chiefs say it's time to ditch passwords for passkeys - what are they?
作者: Liv McMahon | 時間: Fri, 24 Apr 2026 14:40:23 GMT | 來源: BBC
f t
英國民眾被建議在有選擇的情況下,開始捨棄密碼改用通行密鑰,以保障線上帳戶安全。
密碼長期以來是許多人設定並登入數位服務帳戶的預設方式。不過,國家網路安全中心(NCSC)周四表示,將「重構數十年的安全實踐」,改推薦通行密鑰為最安全的選項。包括蘋果、Google 和 X 在內的平台已允許人們使用通行密鑰替代密碼,但什麼是通行密鑰,又是如何運作的?
這項建議出現在數年來警告人們不要使用簡單且易被猜測的代碼(如"123456")或寵物名稱作為密碼之後。在數據洩漏頻繁增加的背景下,NCSC 也再次警告人們不要對不同網站重複使用同一個密碼。密碼管理器和多因素認證(MFA)方法的使用率增加,作為加強和保存登入憑證的方式。
NCSC 認為通行密鑰可能較少受到駭客和人為錯誤的威脅,但部分專家表示它們仍非「萬靈丹」。與密碼一樣,通行密鑰是一種認證形式,用於確保是你在嘗試存取帳戶。但與密碼不同,它們不需要你記憶一串代碼或字母、數字和符號的組合。
通行密鑰是一項數位資訊,與使用者的帳戶綁定,且針對每個使用的網站或應用程式都獨一無二。它們使用密碼學在裝置層級執行檢查,通常與已經嵌入裝置(如智慧型手機)的技術一併運作,例如 iPhone 的 Face ID 與 Touch ID,或 Google Pixel 手機的 Face Unlock。Google 和 iPhone 製造商 Apple 等作業系統開發商提供通行密鑰作為使用者登入帳戶的替代方式。
根據 NCSC,通行密鑰能提供更多保護,因為它們針對每個註冊使用的網站都獨一無二,且不分享任何秘密資訊。NCSC 國家韌性主任 Jonathan Ellison 稱它們為「提供更强整體韌性的使用者友好型替代方案」。他補充說,它們也有助於緩解「密碼使用數十年給我們帶來的頭痛問題」。
通行密鑰由所謂的公開鑰匙密碼學啟用。BCS 認證資訊技術研究所(CII)的 Daniel Card 指出:「與其創建和記憶一個共享秘密,例如密碼,你的裝置會生成一對安全金鑰——其中一部分留在你的裝置上,另一部分則存放在你要登入的服務端。」該過程通常涉及執行你用來解鎖裝置的操作——例如使用內建生物辨識感應器掃描指紋或臉龐,或使用個人識別碼(PIN 代碼)。交換的只是你完成檢查的事實——而非資訊本身。
網路安全公司 Yubico 的區域主管 Niall McConachie 說:「這些實體安全金鑰對釣魚攻擊完全免疫,無法被遠端攻擊者攔截或竊取,意味著只有金鑰持有者才能存取其帳戶。」NCSC 和許多網路安全專家認為,通行密鑰可能至少像、甚至比多因素認證(MFA)方法(例如將強密碼與確保是你在其他裝置上登入帳戶的檢查配對)更安全。
但 Card 也指出,如同其他人先前所言,通行密鑰並非「萬靈丹」。失去裝置或完全無法存取也會使通行密鑰的設定變得困難。NCSC 表示過去不建議轉換是因為「實施挑戰」,例如採用速度慢和支持不全面。許多平台仍不允許使用者使用通行密鑰替代或並用密碼。
但根據推動通行密鑰作為開啟「無密碼未來」的關鍵產業協會 Fido 聯盟表示,該技術現在得到所有主要作業系統、網際網路瀏覽器及第三方提供者的支持。McConachie 表示,對通行密鑰的支持正在增長——包括英國政府去年在數位服務中採用通行密鑰——顯示「這不僅僅是小眾趨勢」。
隨著從密碼轉向密碼管理器、基於應用程式的 MFA,再到通行密鑰,Card 補充說這是在減少風險方面的巨大轉變。「這就是為什麼像 NCSC 這樣的機構支持它們,以及為什麼許多安全社區成員在可用時已經採用它們的原因。」