幣安推出了Passkey功能,說是可以不用密碼就能登入,聽起來很方便但也有人擔心安全性。今天就來講講Passkey到底是什麼,怎麼設定,以及它到底安不安全。去幣安官網或者幣安官方APP就能設定Passkey,蘋果使用者安裝APP參考iOS安裝教程

Passkey是什麼

Passkey是一種新型的無密碼身份驗證技術,由FIDO聯盟和蘋果、谷歌、微軟等科技巨頭共同推動。簡單來說,Passkey用你的裝置(手機或電腦)上的生物識別(指紋、面部識別)或裝置PIN碼來代替傳統密碼進行登入驗證。

傳統的登入方式是輸入賬號密碼,密碼存在各種安全風險:可能被釣魚網站騙走、可能被暴力破解、可能因為資料洩露被公開。Passkey徹底解決了這些問題,因為根本就沒有密碼可以洩露。

Passkey的工作原理

當你設定Passkey時,你的裝置會生成一對金鑰:一個私鑰儲存在你的裝置裡(受生物識別保護),一個公鑰傳送給幣安伺服器。登入時,幣安傳送一個驗證請求,你的裝置用私鑰簽名後返回,幣安用公鑰驗證簽名是否正確。

整個過程中,私鑰從不離開你的裝置,也不透過網路傳輸,所以不存在被截獲的風險。即使幣安的伺服器被駭客攻破,洩露的也只是公鑰,公鑰無法用來偽造登入。

Passkey比密碼安全在哪裡

防釣魚

Passkey和網站域名繫結。即使騙子做了一個和幣安一模一樣的釣魚網站,你的裝置上的Passkey不會被觸發,因為域名不匹配。這從根本上杜絕了釣魚攻擊。

不會被洩露

沒有密碼就不存在密碼洩露的問題。你不需要記住複雜的密碼,不會因為在多個網站用了同樣的密碼而被撞庫攻擊。

不會被暴力破解

Passkey基於公鑰加密技術,目前沒有任何方法可以透過暴力計算來破解。這和密碼完全不同,即使是很複雜的密碼理論上也有被破解的可能。

便捷性

用Passkey登入比輸入密碼加驗證碼快得多。你只需要按一下指紋或者掃一下面部,幾秒鐘就完成了登入,不需要等驗證碼、不需要開啟谷歌驗證器。

怎麼在幣安設定Passkey

在手機APP上設定

開啟幣安APP,進入個人中心,找到「安全」頁面。在安全驗證選項裡你應該能看到「Passkey」或「通行金鑰」的選項。

點選「新增Passkey」,系統會要求你完成當前的安全驗證(輸入密碼、谷歌驗證碼等)。驗證透過後,手機會彈出生物識別提示,用指紋或面部識別確認。完成後Passkey就建立好了。

在iPhone上,Passkey會儲存在iCloud鑰匙串裡,可以在你的所有蘋果裝置之間同步。在安卓手機上,Passkey會儲存在Google密碼管理器裡。

在電腦上設定

登入幣安網頁版,進入安全設定頁面,找到Passkey選項。點選新增,瀏覽器會彈出提示,你可以選擇用本機裝置(如果電腦支援指紋識別或Windows Hello)或者用手機掃碼來建立Passkey。

如果選擇手機掃碼,瀏覽器會顯示一個二維碼,用手機相機掃描後在手機上完成生物識別驗證,Passkey就建立好了。以後在這臺電腦上登入時,可以用手機掃碼來驗證。

設定Passkey後還需要其他驗證嗎

設定了Passkey之後,你可以把它作為登入的主要驗證方式。但建議不要因此就關掉其他安全驗證。Passkey主要用於登入驗證,而提幣、修改安全設定等敏感操作可能仍然需要谷歌驗證器或其他驗證方式。

把Passkey當作安全體系的一個補充而不是替代。多重驗證依然是保護賬戶安全的最佳實踐。

如果手機丟了怎麼辦

這是很多人擔心的問題。如果你的Passkey儲存在iCloud鑰匙串或Google密碼管理器裡,換了新手機後只要登入同一個蘋果ID或谷歌賬號,Passkey會自動同步過來。

但如果你無法恢復Passkey,你仍然可以用傳統的密碼加驗證碼方式登入幣安。Passkey是一個額外的登入選項,不是唯一的登入方式。你隨時可以回退到傳統的登入方式。

在安全設定裡你也可以刪除已經建立的Passkey,或者新增新的Passkey。建議在多個裝置上都設定Passkey,這樣一個裝置出問題還有備用。

Passkey的侷限性

Passkey雖然好,但也有一些侷限。首先,不是所有裝置和瀏覽器都支援Passkey,太舊的系統可能不相容。其次,Passkey依賴裝置的生物識別功能,如果你的裝置沒有指紋感測器或面部識別,就需要用裝置PIN碼,安全性會降低一些。

另外,如果你經常在不同的裝置上登入,每個裝置都需要單獨設定Passkey或者透過跨裝置驗證來使用。對於頻繁更換裝置的使用者來說可能沒那麼方便。

常見問題

Q:Passkey和谷歌驗證器哪個更安全?

A: 兩者的安全機制不同,很難直接比較。Passkey基於公鑰加密,防釣魚能力更強。谷歌驗證器基於時間動態碼,使用場景更廣。最安全的做法是兩個都用,Passkey用於登入,谷歌驗證器用於敏感操作的二次確認。

Q:別人拿到我的手機能用Passkey登入我的幣安嗎?

A: 使用Passkey需要透過裝置的生物識別(指紋或面部)驗證。除非別人能透過你手機的生物識別驗證,否則無法使用你的Passkey。如果你的手機設定了強鎖屏密碼並且只錄入了自己的生物資訊,別人拿到手機也用不了。

Q:我能在幣安建立多個Passkey嗎?

A: 可以的。你可以在不同裝置上各建立一個Passkey,這樣用哪個裝置都能方便地登入。建議至少在兩個裝置上建立Passkey,一個作為主用,一個作為備用。