產業

從「芝麻開門」到無密碼:驗證的過去、現在與未來

從「芝麻開門」到 Passkey,帶你了解驗證如何演進、正在走向何方,以及為何無密碼將成為未來。

最後更新:
從「芝麻開門」到無密碼:驗證的過去、現在與未來

密碼簡史

古代起源: 密碼的歷史遠早於電腦。數個世紀前,羅馬軍隊守衛便使用秘密「口令」來區分敵我。甚至在莎士比亞的《哈姆雷特》中,城牆上的守衛開場就以口令互相驗證(「Long live the King!」)。這個概念很單純:掌握共同祕密,即可獲得存取權。

第一個電腦密碼: 時間快轉到 1960 年的 MIT,Fernando Corbato 在分時系統(CTSS)上引入第一個電腦密碼,用來區隔不同使用者檔案。過去大家共用一組登入,現在每位使用者都有自己的帳號與密碼——在當時是相當新穎的做法。這並不完美(Corbato 後來也承認那是很初階的方案),但它很快被廣泛採用,成為多使用者環境下保護個人檔案隱私的直接方法。事實上,MIT 系統在 1966 年可能也遭遇了第一起密碼「外洩」:某個 bug 意外把完整密碼檔印到每個人的終端機上——預示了日後的安全問題。

早期改進: 隨著電腦普及,密碼保護變得重要。1970 年代,Bell Labs 的密碼學家 Robert Morris Sr. 引入了 密碼雜湊(password hashing):系統只儲存單向雜湊值,而非原始密碼。這表示即使密碼檔被竊取,攻擊者拿到的也是雜湊值而非明文。接著又導入 加鹽(salting) 等技術(在雜湊前加入隨機資料),讓破解被竊雜湊更困難。這些誕生於早期 UNIX 系統的進展,奠定了今日密碼儲存方式。那段時間這樣已足夠,因為現代意義上的大規模「駭入」直到 1980 年代才開始常見。

密碼無所不在: 到了 1990 年代,Web 與電子郵件把密碼帶進每個人的生活。登入成了日常。起初,像寵物名字這樣短又好記的密碼似乎沒問題——畢竟誰會特地來試你的帳號?但隨著線上服務爆炸成長,人們需要建立遠超記憶負荷的帳號數,問題隨之而來。許多人為了方便,在所有網站重複使用 同一兩組密碼。也有人使用極弱密碼——「123456」與「password」年年都在最差密碼榜單上。另一方面,企業系統開始強制複雜規則(字母、數字、符號混合),讓密碼更難猜,同時也更難記。結果就是:螢幕便條紙滿天飛,密碼重設郵件需求暴增。

密碼管理器登場: 進入 2000 年代後,大家逐漸意識到人類需要工具來管理大量登入資訊。於是出現 密碼管理器:把所有密碼存進加密保險庫,使用者只需記住一組主密碼。早期代表包括開源 KeePass(2000 年代初)與雲端服務 LastPass(2008 年)。這些工具可為每個帳號產生長且唯一的密碼,並自動填入。隨時間推進,它們成為主流——到 2017 年,Consumer Reports 已將 KeePass、1Password、Dashlane、LastPass 列為最廣泛使用的消費級密碼管理器之一。密碼管理器確實緩解了重複使用等問題,但也帶來新風險:若主密碼或管理器本身遭入侵,所有帳號都可能受影響。儘管如此,搭配雙因素驗證使用密碼管理器,仍成為支撐老化密碼模式的最佳實務。

為什麼密碼變成問題

便利與安全的根本拉扯: 密碼的核心問題在於,它要求人類做不擅長的事:建立並記住數十組複雜且彼此不同的字串。短而簡單(對人友善)的密碼也最容易被猜中;長且隨機(較安全)的密碼又難以記憶與輸入。現代人擁有過多線上帳號——電子郵件、銀行、購物、社群、工作系統等——重複使用幾組密碼幾乎無可避免。不幸的是,只要其中一個網站外洩,攻擊者就會拿同一組密碼到處嘗試。正如某份報告直言:「僅靠密碼的驗證是網路上最大的安全問題之一」,管理多帳號的麻煩會促使人們跨服務重複使用憑證。

外洩與攻擊激增: 脆弱且重複使用的密碼導致無數安全事件。LinkedIn、eBay 等大型公司都曾發生外洩,暴露數百萬組使用者密碼。這些密碼往往雖經雜湊,但只要原始密碼太弱,駭客仍可大量還原。外洩密碼資料集成為犯罪者的金礦——如果 Alice 在 LinkedIn 用的是「alice123」,很可能她在 Gmail 也用同一組。這也助長了 憑證填充(credential stuffing):攻擊者把外洩帳密批次套用到其他網站。到了 2010 年代,數十億組被竊登入資料的大型彙整在網路暗角流通。研究顯示,仍有相當比例使用者選擇常見密碼,或只做微幅修改後到處使用,讓攻擊者更輕鬆。

釣魚攻擊: 與其破解密碼,不如直接「向使用者索取」?這正是釣魚攻擊邏輯。自 1990 年代中期起,釣魚郵件與偽造登入頁持續誘騙使用者把祕密輸入到錯誤地方。再強的密碼,也擋不住你把它親手交給假冒銀行或 IT 部門的詐騙者。釣魚成為帳號接管最成功的手法之一。Verizon 外洩報告估計,多數與入侵相關的事件都牽涉失竊憑證或釣魚。在一個極具代表性的案例中,Google 在 2018 年指出:當他們要求 85,000 名員工全面使用實體安全金鑰後,無一人再因釣魚受害——這正凸顯密碼過去是多麼薄弱的一環。

面對這些挑戰,科技圈愈來愈常說:夠了。事實上,「密碼已死」早就是常見口號。微軟的 Bill Gates 甚至在 2004 年就預言密碼將走向淘汰。但到了 2025 年,我們仍每天在輸密碼。為什麼?因為要取代這種簡單且通用的登入方式並不容易。不過現在,真正可行的替代方案終於成熟——而且已在你的口袋與裝置裡。

轉向無密碼驗證

經歷數十年的密碼痛點後,產業正轉向 無密碼驗證(passwordless authentication)——不必記憶或輸入傳統密碼也能登入。這股轉變的驅動力是什麼?簡單說,就是更好的安全性 以及 更好的可用性。

  • 安全驅動因素: 無密碼方法可直接消除密碼的最大威脅。沒有密碼,就沒有可在資料外洩中被竊的目標,也沒有可被釣魚騙出的共同祕密。正如 Microsoft Security VP Vasu Jakkal 所說:「沒有人喜歡密碼。它們不方便,而且是攻擊首要目標。」移除密碼能封堵釣魚,阻止「一處外洩、處處失守」的連鎖效應。值得注意的是,科技巨頭聯盟在 2022 年即指出,傳統密碼是網路上最大安全問題之一,而雙因素驗證碼也只算增量改善。推動無密碼最強理由其實很直接:保護使用者——人類習慣(重複使用、選弱密碼、受騙)太難完全修正,因此最有效的方案是把誘因本身移除。
  • 體驗驅動因素: 密碼帶來的使用體驗早已惡化。許多人得管理上百個帳號;我們都經歷過為了符合規則而硬湊「強密碼」的煩躁,也都經歷過忘記密碼後漫長重設流程。登入問題會導致購物車放棄、企業客服成本上升。換言之,密碼是 UX 惡夢。能用指紋識別或一鍵核准登入的流程,自然順暢得多。企業也知道:驗證越容易,使用者越不會流失,也越願意採取安全做法(因為不再需要重複使用或手抄密碼)。無密碼意味著 更少入侵更少「我忘記密碼了」工單,可謂雙贏。

無密碼登入如何運作(核心技術)

那麼,實務上的「無密碼」到底長什麼樣子?多種技術與方法正在收斂,讓我們終於能告別共用祕密。以下是這場無密碼革命的主要角色:

  • 生物辨識(指紋與人臉辨識): 現代裝置可使用你的生理特徵作為金鑰。Apple 的 Touch ID(2013)與 Face ID(2017)讓指紋與人臉辨識走入大眾;Windows Hello(2015,隨 Windows 10 推出)也讓使用者能在 PC 上以臉部或指紋登入。生物辨識快速方便——沒有人會把拇指忘在家裡——而且它驗證的是「你本人」,這是密碼做不到的。重要的是,好的生物辨識系統不會傳送你的真實指紋或臉部影像;它們儲存安全模板並在本機比對。以 Windows Hello 為例,微軟強調它只會傳送加密後的驗證結果,不會送出原始生物資料。生物辨識也有缺點:若指紋外洩,你不能像換密碼那樣「重設指紋」。不過在無密碼架構中,指紋/臉部通常只是用來解鎖裝置上的金鑰,而非直接作為伺服器端祕密。整體而言,裝置端生物辨識已大幅改善登入體驗,並成為無密碼驗證的關鍵元件。
  • 一次性代碼與 Magic Link: 許多人熟悉的無密碼形式是「Magic Link」或一次性驗證碼。網站不再要求密碼,而是寄送一次性登入連結到電子郵件(或簡訊短碼)。點擊連結或輸入代碼,等於證明你可存取該信箱/手機(其本身仍受密碼或 PIN 保護)。這做法在消費型產品流行,因為很直覺:「點我們寄給你的連結即可登入」。你不需再多記一組密碼,「你知道的事」被「你持有的裝置/帳號」取代。Magic link 與 OTP 並非抗釣魚(你仍可能被騙交出代碼),但它們確實移除了額外密碼負擔。許多網站把它們當作不想設密碼者的替代選項。它們提升便利性,但在大規模情境下可能較慢(每次都要開信箱),也依賴你的信箱或手機安全性。可把它們視為邁向完整無密碼的中間站:友善但非最強安全。
  • 硬體權杖(Security Keys): 在高安全場景中,實體 安全金鑰 是重大突破。它通常是小型 USB 或 NFC 裝置(如 YubiKey),可透過密碼學挑戰完成登入。若你用過雙因素驗證並需要插入或觸碰金鑰,就見過這種機制。透過 FIDO U2F / FIDO2,硬體權杖不只可做第二因素,還能直接 取代 密碼。當你向服務註冊安全金鑰時,服務端只存唯一公開金鑰;登入時你按下金鑰,證明持有對應私鑰。整個過程沒有密碼可傳輸或可竊取——祕密永遠不離開金鑰裝置。Google 即是先行者:當員工全面改用安全金鑰後,釣魚成功率降到零,因為攻擊者必須拿到實體金鑰才可能登入。硬體權杖安全性極高(天生 高度抗釣魚),但過去常被認為對一般人太麻煩——誰想為每個帳號帶一把專用金鑰?如今,許多筆電與手機內建安全元件可扮演同樣角色,這也導向下一項創新:Passkey。
  • Passkey 與 WebAuthn(讓公開金鑰驗證變簡單): 真正推動無密碼落地的突破,是 WebAuthn 標準(Web Authentication)及其以公開金鑰密碼學處理網站登入。簡單來說,WebAuthn 讓裝置建立一對金鑰(公鑰/私鑰)來代表你。公鑰交給伺服器且不屬機密;私鑰留在你手上(手機或電腦),只在你通過 PIN、指紋等驗證後使用。登入時,你透過密碼學簽章證明持有私鑰,伺服器以公鑰驗證即可。全程不交換共用密碼。這意味著伺服器被駭也沒有「可直接冒用」的密碼可偷;就算竊到公鑰也無法假冒你。若釣魚網站騙你登入,裝置也會因網域不匹配而拒絕簽章,直接阻斷攻擊。
    「Passkey」本質上是加入更多易用性的 WebAuthn 憑證。科技巨頭透過 FIDO Alliance 制定了跨平台協作模式。Passkey 可透過雲端同步到多裝置——你在 iPhone 建立後,Mac 或 iPad 也能使用。Apple、Google、Microsoft 在 2022 年 5 月共同承諾支援這套標準,讓跨平台無縫登入成為可能。以 Apple 裝置為例,當你為 app 或網站建立 passkey,系統會把 FIDO 憑證存入端對端加密的 iCloud Keychain,並同步到你的 Apple 裝置。下次登入時,只要 Touch ID 或 Face ID 驗證即可,完全不需密碼。Google 與 Microsoft 也在各自生態系採取同方向。Passkey 延續安全金鑰概念但隱藏複雜性:你的手機或筆電本身就是安全金鑰。對使用者來說,感受像魔法:「用指紋登入,完成。」 背後其實是完整的密碼學交握,具備強大抗釣魚與抗重複使用能力。Google 也強調:passkey 讓登入方式和解鎖裝置一致,比密碼更容易、也更安全——不再依賴寵物名或「password123」,也更不容易落入釣魚陷阱。

科技巨頭全面擁抱無密碼

無密碼轉型不再只是概念,而是正在發生,且由大型科技公司帶頭:

  • Microsoft: 微軟多年來持續推動「無密碼世界」。Windows Hello 於 2015 年把生物辨識登入帶到 PC;Microsoft 帳號也早已支援 app 與安全金鑰作為替代方式。2021 年,微軟更進一步允許 任何 使用者完全移除 Microsoft 帳號密碼,改用 Windows Hello、手機驗證 app 或硬體金鑰登入。據微軟統計,到 2021 年其內部員工幾乎(接近 100%)已轉向無密碼,且超過 2 億人正在使用 Hello 或 Authenticator 等無密碼選項。這是大型無密碼登入可行性的關鍵里程碑。這不只適用 Windows:微軟雲端服務與 Office 365 也支援 FIDO2 安全金鑰與 Authenticator 核准登入。訊息非常明確:密碼時代正在倒數。

  • Apple: Apple 先以 Touch ID / Face ID 讓消費者習慣生物辨識,接著把這種熟悉感延伸到密碼替代。2022 年,Apple 在 iOS 16 與 macOS Ventura 推出 Passkeys,作為 WebAuthn/FIDO 憑證的易用實作。若你使用 iPhone,可能已看過註冊時「Create a passkey」提示。點一下就能建立唯一金鑰對,安全儲存在 iCloud Keychain,並可在 Apple 裝置間共用。之後回到該 app 或網站,系統只要你用 Face ID 或 Touch ID 驗證,即可透明完成登入。無需輸入、也沒有可竊取密碼——驗證綁定裝置與生物特徵。Apple 甚至支援在非 Apple 裝置使用 passkey:例如可在 Windows PC 網站登入時,用 iPhone 掃 QR code 來完成驗證。憑藉軟硬整合生態,Apple 正讓無密碼登入對一般使用者近乎零摩擦。考量其裝置規模,這對普及化是巨大推力。

  • Google: 以規模來看,Google 導入無密碼技術是強力催化劑。Google 早期即加入 FIDO Alliance,且多年前已支援 Google 帳號綁定實體安全金鑰。2023 年,Google 將 passkey 登入選項推向所有消費者 Google 帳號(Gmail、Drive 等)。現在你可在設定中建立 passkey,系統可能要求你使用手機指紋或人臉解鎖。完成後,在新裝置登入 Google 可能只要手機核准提示即可——不再需要密碼。Google 將此稱為密碼終局的開端,強調 passkey 抗釣魚且比管理驗證碼更簡單。他們也透過 Chrome 密碼管理器提供 passkey 同步(許多 Android 使用者本就仰賴它),讓 Android 與 Chrome 能像填密碼一樣填入 passkey。換句話說,Google 正把無密碼能力直接嵌入數十億人每天使用的產品中;而且不只個人帳號,也擴展到 Google Workspace 商用場景。

  • 以及更多生態: 幾乎所有主要科技玩家都已加入。FIDO Alliance 匯聚數百家公司共同推進標準化無密碼方法。其他例子包括:瀏覽器的 WebAuthn 支援——Chrome、Safari、Edge、Firefox 等現代瀏覽器皆支援 WebAuthn API,任何網站都可導入硬體金鑰或裝置憑證登入。大型網站與服務——PayPal、Shopify、Yahoo! Japan、DocuSign 等公司已開始提供 passkey 選項,體驗多半比密碼更流暢。企業端方面,Okta、Duo、Auth0 等 SSO 服務商也整合無密碼技術,協助企業提升安全並降低員工登入摩擦。

前方道路:密碼會被淘汰嗎?

現在是 2025 年 World Password Day,第一次讓人覺得「沒有密碼的未來」真的可能到來。動能是真實的:跨產業聯盟已交付足以終結密碼的技術,而企業也開始落地。這是否意味密碼會一夕消失?還不至於。仍有幾項挑戰待解:

  • 生態系採用: 無密碼登入成立的前提是你使用的 app 與網站都要支援。我們正處於過渡期,並非每個服務都提供 passkey 或 token 登入。許多團隊仍需時間(與外部壓力)導入新技術。Apple、Google、Microsoft 正積極推動開發者採用;隨著成功案例增加,市場也會倒逼落後者跟上。但就目前而言,你很可能仍有部分帳號只接受舊式帳密,因此還無法立刻刪光所有密碼。
  • 使用者認知與遷移: 數百萬人已習慣密碼,行為改變需要時間。有人可能擔心:「沒有密碼的話,裝置遺失怎麼辦?」(答案是使用備援裝置或復原機制——passkey 設計本就包含這一層)。科技公司需要持續教育:新方法不只更安全,還 更簡單。像是允許你把 passkey 分享 給可信任家人(共用帳號情境),或快速把新裝置加入 passkey 清單等功能,都在降低遷移阻力。接下來幾年,使用者教育將是重點。要讓大眾接受「登入只要按指紋」需要時間,因為人類心理習慣不會一夜改變。
  • 既有系統包袱: 某些環境(舊硬體、舊企業軟體)可能無法支援最新驗證方式。可預期一段時間內仍需密碼作為備援。若企業要做到真正無密碼,就必須確保帳號復原與邊界情境有安全替代方案。例如所有登入都無密碼且手機是主要金鑰時,若手機損壞、備援裝置又不在身邊該怎麼辦?解法包括準備多個 passkey 裝置、可信聯絡人機制等,但也代表前期規劃需更完整。

儘管仍有門檻,趨勢已非常明確。技術終於追上了「消滅密碼」這個長年願景。正如 FIDO Alliance 官員所言,目標是「更簡單、也更強韌,且跨裝置普及」的驗證,而我們正穩步接近。企業積極投入,因為這能整體提升安全並節省成本(更少詐欺、更少重設)。而使用者只要體驗過,通常會發現無密碼登入更直覺、更符合現代習慣——這本來就該是登入該有的樣子。

在今年 World Password Day,不妨回顧我們走過的路:從羅馬守衛口令、到 1960 年代笨拙的電腦密碼,再到 2025 年的 Face ID 與 Passkey。密碼曾有輝煌時代,也不會立刻消失,但它的角色正逐步淡出。無密碼驗證的崛起意味著,在不久的將來,我們也許能以「不用任何密碼」的方式來慶祝 World Password Day。