通行密鑰(Passkey)是用裝置上的一對公開金鑰與私密金鑰取代密碼的登入方式。登入時,你用手機或電腦的生物辨識、PIN 或螢幕鎖解開存在裝置裡的私密金鑰,由它簽署一道伺服器送來的挑戰;密碼本身不再被輸入、傳輸或儲存在伺服器,因此釣魚網站騙不到、伺服器資料庫外洩也偷不走。目前 Google、Apple、Microsoft 三大平台的帳號都已支援,台灣的政府「行動自然人憑證(TW FidO)」與露天市集、可樂旅遊、智冠科技等民間服務也陸續導入。
Passkey 怎麼運作:用公私鑰取代密碼
依 FIDO 聯盟的說明,當你在一個服務註冊 passkey 時,裝置會產生一對金鑰:公開金鑰送到服務端的伺服器保存,私密金鑰則留在你的裝置上,不會離開。登入時伺服器送來一道隨機挑戰,裝置要求你用「平常解鎖這支手機或這台電腦的同一組生物辨識、PIN 或螢幕鎖」批准,才會用私密金鑰簽署這道挑戰,再把簽章送回伺服器以公開金鑰驗證。
關鍵在於私密金鑰從頭到尾不會傳出去。Apple 在通行密鑰安全性說明中指出,伺服器永遠不會知道私密金鑰是什麼。也因為沒有可被竊取的共用密碼,passkey 同時具備「你持有的裝置」與「你的生物特徵或螢幕鎖」兩種因素,本質上就帶有多因素驗證的效果。
一般使用者怎麼開始用
開始用 passkey 不需要額外硬體,流程是在支援的服務裡「建立一把」,之後改用裝置解鎖方式登入。Google 帳號可在帳號安全設定裡建立 passkey,建立後用指紋、臉部辨識或螢幕鎖就能登入,且可存進 Google 密碼管理工具跨裝置使用(見 Google 官方說明)。
Apple 裝置要先開啟 iCloud 鑰匙圈與雙重認證,passkey 會加密存進 iCloud 鑰匙圈、在你的 Apple 裝置間同步,也能用 iPhone 去登入非 Apple 裝置上的網站與 App(見 Apple 使用說明)。Microsoft 帳號則可建立並儲存 passkey,用臉部、指紋或 PIN 確認登入,進一步還能移除密碼、改成完全無密碼登入。
台灣導入現況:從政府到民間
政府端最具規模的是內政部「行動自然人憑證(TW FidO)」,採 FIDO 標準,免插卡、免帳密,用手機生物辨識就能登入線上報稅、查健保資料、申請戶籍謄本等政府服務(見 TW FidO 官網)。據 iThome 報導,光是 TW FidO 介接,就讓國內超過 300 個政府與企業系統支援 FIDO 技術。
民間服務方面,iThome 在 2024 年的盤點指出,露天市集、可樂旅遊、智冠科技是台灣首波提供 Passkey 無密碼登入的業者;到了 2025 年下半年,報導再點名酷澎、誠品、杏一醫療等陸續跟進,支付領域也出現「一卡通 iPASS MONEY」等落地案例。數位發展部作為 FIDO 聯盟政府會員,正協助電商、遊戲、旅遊與金融等產業導入無密碼驗證。
限制與注意事項
Passkey 還是有要留意的地方。它多半綁在某個生態系的同步機制裡,例如 Apple 存在 iCloud 鑰匙圈、Google 存在 Google 密碼管理工具;要在不同生態系之間(例如把 iPhone 上的 passkey 拿到 Android 用)目前得靠掃 QR code 的跨裝置登入流程,不是無痛搬移。FIDO 聯盟也說明,passkey 是由作業系統、瀏覽器或第三方密碼工具這類「通行密鑰提供者」保管(見 FIDO 聯盟)。
開通通常需要先有一個已驗證、設好螢幕鎖的裝置。以 Apple 為例,使用 iCloud 鑰匙圈一定要開啟雙重認證,沒開的話註冊 passkey 時會被要求補設定(見 Apple 安全性說明)。裝置遺失時,要靠帳號的雲端同步或備援登入方式,才能在新裝置取回。目前多數服務仍保留密碼當備援,passkey 是更安全的選項,而不是唯一入口。
常見問題
Passkey 和密碼有什麼不同?
密碼是你要記住、輸入並送到伺服器比對的字串,會被釣魚或在資料庫外洩時一起被偷;passkey 是存在裝置裡的私密金鑰,登入時只送出簽章、不送金鑰本身,伺服器只保存公開金鑰,因此擋得掉釣魚與伺服器端外洩(見 FIDO 聯盟)。
手機掉了 passkey 會跟著不見嗎?
不一定。如果 passkey 有同步到雲端,例如 Apple 的 iCloud 鑰匙圈或 Google 密碼管理工具,只要在新裝置登入同一個帳號就能取回(見 Apple 說明)。建議搭配雙重認證與螢幕鎖,降低裝置遺失的風險。
台灣有哪些服務可以用 passkey?
政府端有內政部的行動自然人憑證(TW FidO),民間有露天市集、可樂旅遊、智冠科技等業者,2025 年後再有誠品、杏一醫療等跟進(見 iThome 報導);Google、Apple、Microsoft 帳號在台灣同樣可以使用。
參考來源
- FIDO Passkeys:Passwordless Authentication(FIDO Alliance)
- About the security of passkeys(Apple Support)
- Create and save a passkey(Microsoft Support)
- 行動自然人憑證 TW FidO(中華民國內政部)
- FIDO 在臺落地規模擴大,逾 300 個政府與企業系統支援(iThome)
- 跟上國際腳步,臺灣 Passkey 應用實例出爐(iThome)
