Google Workspace 最近推出了 Passkeys 功能的公開測試版,這是一項重要的安全更新。
先前 Google 帳號已經可搭配兩階段驗證 (2-Step Verification,簡稱2SV) 的「Google 提示」功能,只要在慣用設備上輕觸一下提示訊息就能輕鬆登入,不必輸入驗證碼,其方便性已大大地提高。不過做為登入驗證之用,還是需要輸入正確密碼後,才能夠完成登入流程。
從現在開始,這項作業將更進一步簡化,透過 Passkeys 密碼金鑰走向真正無密碼體驗的一天,且安全性更優異!
什麼是 Passkeys 呢? 它是一種基於非對稱式密碼學的登錄認證方式,使用 Passkeys 登錄時,用戶的身份由公鑰和私鑰組合證明,而不是輸入文本密碼。公鑰儲存在伺服器上,私鑰儲存在用戶設備上,兩者不同且無法透過單一種類來通過驗證。
與基於密碼的登錄方式相比,Passkeys 具有以下安全優勢:
- 防禦密碼庫攻擊(暴力破解):
Passkeys 不像密碼可被反復嘗試,每次登錄都需要在用戶本機設備上進行密鑰匹配,無法透過大規模嘗試來破解。 - 防止密碼被盜用:
傳統密碼一經泄露,就可以被駭客無限次重複使用,而 Passkeys 私鑰存在用戶設備上且具獨特性,無法複製或被他人使用。 - 防止網站間密碼重複利用:
由於每個網站都對應一個唯一公鑰,Passkeys 解決了同一密碼跨網站重複使用的風險。 - 強化身份驗證:
Passkeys 需要生物辨識或安全密鑰作為第二要素驗證,增強了登錄的安全性。 - 不易受社交工程攻擊:
Passkeys 存於硬體設備內,無法通過欺騙獲取,可有效防範社交工程及釣魚攻擊。
可以看出,Passkeys 在安全性上有很多突破性的優勢,那麼對用戶體驗有什麼影響呢?
對於用戶來說,採用 Passkeys 可以享受到更安全無憂的登錄體驗,登錄時無需再記住和輸入密碼,透過使用生物辨識 (指紋、臉孔) 或裝置螢幕鎖定 (例如 PIN 碼)、實體安全金鑰來確認身份即可。如希望開啟,請參閱 https://g.co/passkeys。
總體來說,Google Workspace 推出 Passkeys 公測,幫助用戶提高帳號安全保護,帶來了更安全、便捷的登錄體驗,值得企業用戶積極關注和使用這項功能。
更多資訊可參考:
https://workspaceupdates.googleblog.com/2023/06/passkey-open-beta.html
https://support.google.com/accounts/answer/13548313