嗨,早!
這週蘋果舉辦全球開發者大會(WWDC),多數媒體聚焦在全新發表的 Macbook Air 筆電,還有主打「先買後付」的 Apple Pay Later 刷卡服務。
不過整場活動最讓我驚豔的兩個亮點是 Passkeys 與 IDs in Apple Wallet。雖然比較少人會注意,但區塊勢老讀者看完應該也會很有共鳴。前者是用私鑰淘汰傳統密碼,後者則是解放了數位身分證的潛力。
這篇文章討論前者,後者我會再擇期討論。
傳統密碼
你都是如何設定帳號、密碼?每個人都有一套專屬的密碼規則。最常見的可能是「123456」或「qwerty」,但我聽過最有創意的是用注音來設定密碼。
例如「區塊勢」這三個字如果用注音輸入,對應的英文鍵盤就是「fm dj94g4」。這完全跳脫人們以英文思考密碼的習慣,設定的密碼也就比較難被猜到。如果你懂得倉頡輸入法或是更冷門的輸入法,設定的密碼肯定還會更特別。
但密碼就算再有創意,只要任何一個網站洩露了你的那組「萬用密碼」,駭客就能拿著它暢行無阻。更安全的方式是在每個網站都設定一組獨特的密碼,並交給密碼管理器統一保管。
只不過,理想與現實總是有差距。如下圖所示,Chrome 早在幾年前就不斷提醒,我在 26 個網站使用的同一組密碼遭到外洩,但每當我看到那些都是無關緊要的網站,就懶得去改。
要不是現在 Safari 和 Chrome 瀏覽器會自動為使用者產生一組全新的高強度密碼,並自動填寫,我可能還在使用那組「萬用密碼」。但自動產生的密碼只是提升複雜度,萬一網站的資安做得不好,密碼還是會落入駭客手中。
以前密碼洩漏只是資料外流,但現在密碼背後管理的可能還有加密貨幣資產。嚴重程度更甚以往。因此,許多交易所會半強迫使用者設定 email、簡訊或雙重身份驗證(2FA),否則就只能小額提領。
其實業界早就知道,當前的帳號密碼機制對絕大多數人來說都太難使用了。更安全的機制,應該是根本不要讓使用者接觸到密碼。換言之,最好的密碼就是「沒有密碼」。這就是 Passkeys 與傳統密碼的最大差異。
Passkeys
這週蘋果開發者大會中介紹的 Passkeys,乍看只是將密碼的英文 Passwords 的 word 拿掉換成 key。但它象徵的是以後人們不必再自己設定密碼,只要保管好系統為你產生的「密鑰」或稱「私鑰」即可。密碼是自己設定的,鑰匙則是機器產生的。
這項功能預計在 2022 年 9 月問世,到時候使用者就能開始已私鑰逐步淘汰傳統密碼。根據 WIRED 的報導:
Passkeys 將會使用 Touch ID 或 Face ID 創建新的私鑰,來取代你的既有密碼。當使用者在網站創建新帳號時,你可以使用私鑰註冊而不必再設定密碼就能完成。日後再次造訪網站時,只要使用 Touch ID 或 FaceID 認證就能登入,不必再輸入密碼。
Passkeys 是使用公私鑰機制,來確認你就是你說的那個人。這不僅解決了密碼被猜到的麻煩,也降低網路釣魚攻擊的風險。如果密碼打從一開始就不存在,也就沒辦法被偷走。Passkey 將透過 iCloud 的鑰匙圈在多個設備之間同步,而且 Passkey 只會儲存在每個裝置內而不是伺服器上。
蘋果最擅長的就是讓所有人都能「無痛升級」最新科技。
對一般使用者來說,Passkeys 就是將原本惱人的密碼登入,升級成 Touch ID 或 Face ID 登入的「黑科技」。即便是不熟悉操作 3C 的長輩,日後也能輕鬆上手。總算是可以撕掉手機背面抄滿密碼的便利貼紙了!
但如果深究 Passkeys 背後的運作機制,你就會發現它和加密貨幣錢包產生收款地址、私鑰的原理一模一樣。Passkeys 實際上是由每個人的手機自動產生一組公鑰、私鑰的配對組合。公鑰就像是鎖頭,而私鑰則像是鑰匙。兩者成對出現。
每當使用者註冊帳號,Passkeys 就會自動將鎖頭(公鑰)交給網站,而相應的鑰匙(私鑰)則會存在使用者裝置內。日後人們登入網站,都只要憑鑰匙「開鎖」就可以完成身份認證。
Passkeys 背後的公私鑰機制在日常生活中其實不算少見。每次使用者要轉帳加密貨幣之前,都需要以錢包內的私鑰簽章核准就是一例。又或者最近報稅季要用到的自然人憑證也是一種物理的私鑰,它代表的就是數位世界中的「本人」。
現在蘋果打算用 Passkeys 這套公私鑰機制,來取代傳統的密碼登入。
兩者最大不同之處就在於,使用者從頭到尾都不用在網站輸入密碼,網站也拿不到用戶的私鑰。不僅以後不會再出現「123456」這種過度簡單的密碼,即便網站被入侵駭客也找不到用戶手上的私鑰在哪裏。空有鎖頭,還是無法登入帳號。
這就解決了過往網站管理不慎,弄丟密碼、洩漏用戶資料的老問題。
但熟悉加密貨幣的人或許會問,萬一使用者搞丟私鑰那不是更麻煩?蘋果也清楚這點,因此,它全都替你完成了。
Passkeys 會自動替用戶將私鑰保存在 iCloud 鑰匙圈內。使用者從頭到尾都拿不到明碼私鑰,這就解決了使用者可能弄丟或者被假網站釣魚的風險。
換言之,使用者只要使用 Touch ID 或 Face ID 認證之後,Passkey 就已經替你一步完成創建、保管私鑰的所有流程。未來系統也會自動以私鑰簽章。蘋果推出 Passkey 幾乎可以說是宣布「設定密碼」的舊時代即將終結,未來是「保管私鑰」的新時代。
最酷的是,每到一個新的網站,Passkey 都會替你重新創建一組新的私鑰並自動保存。未來大家只要用 Touch ID 或 Face ID 就能在網路上暢行無阻,可以說每個人都享有「刷臉進場」的禮遇。
看到這裡,肯定有人會問蘋果以外的系統可以用 Passkey 嗎?當然可以,而且使用體驗還有點像是加密貨幣錢包的掃碼連接。
跨平台
Passkey 不是蘋果的特殊規格,而是在 Google、微軟服務裡也都能通用的標準規格。
舉例來說,如果你在圖書館的公用 Windows 電腦裡想要登入 Gmail 信箱,雖然個人的 Passkey 沒有記錄在那台電腦內,但只要輸入帳號就會在 iPhone 收到授權的推播通知,或是拿起手機相機掃描網頁上的 QR code 也能授權登入。
這打破平台限制。只要網站未來能在密碼之外,新增 Passkey 登入,使用者就能多一種更安全的登入選擇。
以後人們靠刷臉或掃描指紋註冊或登入,實際上並不是網站記得你的生物特徵,而只是 Passkey 在背後幫你產生並管理一大串的私鑰。每個人的生物特徵,就是動用這些私鑰的最終「鑰匙」。
蘋果帶領大家從「密碼時代」過渡「私鑰時代」,也顛覆人們的既有認知。原本不少人以為,私鑰是比較原始而且難用的爛設計。但這次蘋果的 Passkeys 證明,私鑰是比密碼更先進的身份認證機制。只是需要搭配一套完善的私鑰管理機制。
我看好未來「私鑰」的概念會越來越普及,不再是只有幣圈投資者才聽得懂的專業術語。但我更最期待的是有一天加密貨幣錢包的私鑰,也能受惠於這套管理私鑰的基礎建設,讓使用者不必再擔心自己會弄丟私鑰、遺失資產。
區塊勢是由讀者付費訂閱來維持營運的獨立媒體。如果你覺得區塊勢的文章不錯,歡迎你分享這篇文章或是成為付費會員支持我們走得更遠 🙏
此外,也請大家推薦區塊勢給親朋好友。若想查閱區塊勢過往的出刊內容,可以參考文章列表。有鑒於常會有讀者寄信來問我推薦碼,因此我將它們整理成一頁。歡迎大家使用。