提供Passkey無密碼登入的風潮已吹向臺灣，今年我們發現，已有一些消費端的網站與應用程式，提供這項全新登入機制，而且，為了促進民眾使用，這些業者還特別製作宣傳頁面，並搭配獎勵活動，介紹這是免記密碼、讓會員帳號安全升級的登入，來吸引用戶啟用。
儘管業者宣傳用詞不同，但從實際登入過程，我們可以發現，他們的系統操作介面，都會提到Passkey、通行密鑰（或密碼金鑰）。

FIDO2與通行密鑰崛起，成為無密碼普及的關鍵

近年來，FIDO線上身分認證的技術發展，備受各界關注。例如， 可望促進無密碼登入應用普及的FIDO2標準在2018年推出，當時微軟、日本Yahoo，以及美國政府的Login.gov網站服務，很快就提供支援，後續也有更多業者跟進，包括Line、eBay等。

臺灣的無密碼登入推廣也不落人後，從2020年開始，內政部與多家臺灣金融業實際推出FIDO應用，讓民眾登入政府服務、金融業服務，可以使用無密碼的方式驗證身分，較可惜的是，當時這股風潮未能廣泛擴及其他產業。

為了加速FIDO2標準的應用普及，2022年有新突破。主要原因有二：

（一）FIDO聯盟公布多裝置FIDO憑證白皮書，對WebAuthn標準提出突破性的修改，引入了可複製與備份的特性。

（二）FIDO聯盟成員Google、蘋果與微軟，都承諾擴大對FIDO的支援，之後也相繼推動Passkeys，也就是可儲存為Passkey通行密鑰的FIDO憑證，促使FIDO2標準的無密碼體驗更普及。

在此發展態勢之下，使得Passkey一舉躍為最新潮流。如今，全球有越來越多的網路服務，都已提供Passkey支援。

現在臺灣也出現Passkey導入實例。今年我們看到，國內至少已經有3家業者，在他們的網站大力宣傳「Passkey無密碼登入」，或是「FIDO生物識別登入」。

例如，電商服務業露天市集自今年1月開始，已經追隨國際大型電商業者eBay、Amazon的腳步，已陸續為國內用戶提供App與網站的Passkey登入支援。

有更多業者在7月宣傳，像是：可樂旅遊在其網站與App新增FIDO快速登入，智冠科技針對旗下點數儲值平臺MyCard App，提供FIDO生物識別登入。

儘管業者的宣傳用詞不盡相同，但從這些網站或App的實際登入過程，我們發現，操作介面會跳出Passkey、通行密鑰（或密碼金鑰的描述），而透過這些關鍵字的標示，也代表國內這些網路服務業者都已採用FIDO2標準的底層技術，支援Passkey無密碼登入。

提供無密碼登入的考量點，不只提升會員帳號登入安全

關於應用程式與網站服務支援Passkey登入的好處？從三家業者的經驗來看，帳號登入安全性的提升是主要考量，而且，他們也從不同層面獲得效益。

 露天市集 

以電商服務業為例，露天市集提供Passkey登入主要關注3大好處，包括：幫助用戶節省忘記密碼的困擾與時間；支援生物辨識與裝置綁定，確認為本人使用，因此安全性更高；節省企業支付簡訊OTP認證的成本。

露天市集共同營運長周書華表示，他們在10年前就推出「露天代碼產生器」App，當時在國內算是相當新穎的技術，可以提供App形式的兩步驟驗證。

只是，雖然這提供了更安全登入的方式，但對於用戶而言，還要額外開啟App、記住OTP碼並輸入，導致使用率一直沒有顯著成長。相對來說，現在提供的Passkey登入，不僅更可以幫助用戶避免遭受網釣，使用方便性也大增。

再者，去年他們為了提升帳號密碼登入的安全性，擴大簡訊OTP的使用範圍，涵蓋不同裝置、異地登入或超過半年未登入等高風險情境，這也導致他們需要每月發送數十萬封簡訊，如今提供Passkey登入也能降低簡訊發送的成本。

 智冠科技 

另一家率先主推Passkey的臺灣業者，是提供MyCard遊戲點數儲值服務的智冠科技，該公司網路發展部經理李哲瑋表示，他們在預期成效上，聚焦5大重點，包括：提高會員登入安全性、改善密碼登入失敗率，降低密碼登入失敗被鎖定的客訴案件，提升品牌服務滿意度，以及降低簡訊OTP成本。

在此當中，他們最重視會員帳號安全的強化。這是因為，面對詐騙與帳號盜用問題，他們不斷強化MyCard服務的帳號登入安全，像是手機號碼綁定、裝置綁定，以及國別與IP位址的條件驗證。

特別的是，2022年他們針對MyCard App，新增手機生物辨識登入的機制，現在則是新升級為FIDO生物識別登入。李哲瑋指出，前者是單純串接手機本身的生物識別功能，後者是採用FIDO國際標準，因此，這兩種生物辨識，背後其實有明顯的防護強度差異。

 可樂旅遊 

採用Passkey的重要性與效益，也被旅遊服務業者看到。可樂旅遊旅行社資訊系統總經理馬規倫表示，在提供更安全的登入方式之餘，他們還有一個不同的著眼點，那就是希望能夠藉此留住用戶。對於一般人而言，業者若強調強化網站與行動App資安防護，通常會擔心使用方式可能變得複雜、麻煩，而感到排斥，為何反而能因此留住顧客？

他解釋，旅遊服務不是經常交易的商品，換言之，旅遊業的網站或App並非大家每天都在使用的服務，因此，這項機制避免用戶因為忘記密碼而離開，同時能避免用戶遭網釣，提供高安全性。

更進一步來看，提供FIDO快速登入對可樂旅遊的正面形象也有幫助。這是因為，大家對旅遊業的印象多是傳統產業，而他們也想朝向旅遊業中的科技領導產業發展，因此他們需要更多努力。

這次可樂旅遊率先採用Passkey，也大大鼓勵內部創新，他們盼能秉持如此精神，帶動旅遊業的科技發展。

促進用戶體驗新安全登入，以獎勵活動吸引大眾

如何推動新的無密碼登入機制？我們注意到這些業者相當積極，不只是向用戶推廣新的安全登入機制，還會透過舉辦活動的方式，以獎勵用戶為誘因，增加使用者對於新機制的啟用意願。

例如，露天市集為此申請經費、辦獎勵活動，提醒用戶重視帳號安全，號召大家啟用Passkey，就能領取50元露幣，最新一波活動是提供打拋豬炒飯的兌換序號。他們祭出多種措施吸引用戶參與，使更多人實際體驗Passkey登入的便利，也藉此強化用戶帳號登入的保護。

無獨有偶，智冠科技同樣為了宣傳MyCard App升級FIDO生物識別，舉辦啟用即可領點數的活動，最高獎勵為MyCard 10,000點，並搭配抽獎送iPhone手機活動，激勵用戶啟用這項新機制。

而在可樂旅遊的推廣上，亦針對新增的FIDO快速登入舉辦每月抽獎活動，發送可折抵訂單金額的獎項，包括5,000元、1,000元與500元的折扣碼，鼓勵會員做好快速登入的設定。

特別的是，可樂旅遊還提到他們會從公司內部宣導做起，如此才能讓自家人員在與用戶接觸時也能順利向外推廣。

而且，可樂旅遊也在其同業服務平臺提供FIDO快速登入，換言之，他們的應用不僅是提供給一般消費者，也提供給全臺合作的旅遊同業。

國內民眾對Passkey仍感陌生，政府獎勵政策帶動產業升級

這些業者之所以積極對外推廣，我們認為可能有兩大原因。

首先，多數國內消費者不熟悉Passkey無密碼登入，因此，如何讓用戶容易理解啟用新機制的必要性，就是一大考驗。例如，露天市集指出，前兩年他們對此技術抱持觀望態度，主因是考慮國內用戶對Passkey並無概念，教育使用者的成本會很高。

國際間雖然有不少網站服務直接標榜Passkey，像是PayPal、Amazon電商等，但對臺灣廣大消費者而言，仍很陌生。

目前來看，部分國內業者更著重說明採用FIDO國際標準的必要性，因為金融業先前已有推動這項技術，又或者是聚焦在更安全的無密碼登入，更簡單的掃臉與指紋登入，利用一些較為親民的標語，促進民眾願意啟用新機制，以及認識這項技術為何能帶來更高安全性。

其次，政府在這一兩年內，也在設法鼓勵產業導入FIDO技術，成為引領國內企業導入相關應用的重要推手。

這是因為，當我們了解上述業者的導入經驗時，不只是提到大家先前已在關注FIDO技術，想要強化用戶帳號登入安全，他們同時也都指出一個契機，就是政府積極推動打詐，這兩年正推動產相關應用計畫。

具體而言，這是數位發展部數位產業署（數產署）提出的「智慧防詐與數位信任應用發展計畫」，當中就有強調「數位信任場域服務實地驗證」，並規畫出4種類別，FIDO安全身分識別技術就是一例，其他還包括隱碼技術、電子簽章技術、區塊鏈技術。

換言之，數產署希望透過政府的獎勵計畫，促進國內產業在資安與數位信任的技術應用上，能實際採取更多行動。

特別的是，我們在詢問數產署相關負責人時，也就是數產署平台經濟組科長江繼元，他向我們表示，雖然最高獎勵有300萬元，但有一定的門檻，而且，若參與計畫的企業未達成效，獎勵名額也會從缺。這是此計畫的特殊之處，以FIDO項目而言，計畫目的強調需促進民眾使用，因此政府對於申請參與計畫的企業有所要求：每企業的FIDO系統登入至少達3萬人次。甚至，有些企業承諾更高的使用人次，像是智冠科技所訂出的目標，是50萬使用人次。

就目前我們所知，上述業者的使用人次都已經達標，或是差不多達標，而數產署也將在今年11月發表相關成果。 

另一方面，在上述數位信任場域服務實地驗證計畫之前，去年數產署就有不同推動辦法，當時的重點是鼓勵發展相關技術與產品服務，也就是針對資安業者而來，今年則是聚焦在電商、第三方支付、遊戲業者等網路服務產業。

綜觀這些新技術應用的推動，包括政府對資安業者與企業的兩次獎勵計畫，以及服務業者對用戶的獎勵活動，就在這一層層推波助瀾下，確實讓國內首波Passkey應用實例，出現較明顯的進展。

首波支援Passkey業者數量不少，組織內部應用實例也浮出檯面

更進一步來看，國內目前提供Passkey無密碼登入的網路服務業者，其實不只上述這3家，我們在數產署的「數位信任場域服務實地驗證計畫」申請列表中，可以找到更多有意導入的服務業。

例如，申請FIDO項目的有6家業者，不只是露天市集、可樂旅遊、智冠科技，還有全國加油站、雷特遊戲。

值得注意的是，根據數產署的說明，還有一家列於名單的業者是微風廣場，該公司其實也有意導入，但由於這需在一定時間內完成導入與達到成效，因此微風廣場在報名計畫後已表示退出。

政府積極推動打詐，像是數位發展部數位產業署推動數位信任場域服務實地驗證計畫， FIDO安全身分識別技術就是其中一項類別，初期有6家業者參與，包括露天市集、可樂旅遊、智冠科技、雷特遊戲、全國加油站，微風廣場因為時程無法趕上而退出計畫。

對於更多國內導入現況，我們也詢問有協助導入經驗的廠商與FIDO專家，以了解更多情形。

例如，全國加油站的App、HyRead電子書平臺，同樣也採用FIDO2標準的底層技術，支援Passkey無密碼登入。協助這兩家業者導入的凌網科技，該公司副總經理高承億向我們表示，全國加油站在今年8月支援，並是首個實體門店業者應用的案例，HyRead則是他們子公司凌網知識的網路服務，從去年底就開始支援，且帳號登入介面是強調「啟用零信任」，原因是他們在應用FIDO2標準之餘，也加上其他的身分安全認證措施。

關於雷特遊戲的應用上，FIDO聯盟台灣分會會長張心玲指出，該公司是以FIDO取代手遊的傳統密碼登入方式。

上述都是提供給外部使用者的案例，特別的是，也有企業是將FIDO技術應用於公司內部，也就是針對內部使用者的系統登入安全而來，張心玲表示，誠品、中央研究院就是近期的導入實例。

綜觀這些最新進展，我們可以看到無密碼登入在臺的發展，確實已在不同產業間發酵。未來，隨著Passkey無密碼登入的普及，或許用戶對於通行密鑰Passkey這樣的術語，會有更高的接受度，甚至在使用其他線上服務時，可能也會期望並要求相同的身分驗證方法。

 Passkey將具備跨裝置使用能力，憑證可攜是關鍵 

關於Passkey登入機制的最新動向，自然是跨多種運算裝置應用的最新發展，而且，這也是先前Passkey被認為能夠促進無密碼登入普及的關鍵。

最近有兩項重大突破，一是Google在9月宣布可跨平臺同步Passkey，另一是FIDO聯盟在10月發表新規範以推動憑證可攜。

首先是橫跨行動裝置平臺、瀏覽器、雲端服務的Google生態系，9月19日Google宣布，在Android與Chrome瀏覽器中，原先可以存放通行密鑰（Passkey）的Google Password Manager，已經可以提供同步Passkey到不同的平臺上使用的能力。

也就是說，當Google用戶無須在各個裝置建立不同通行密鑰Passkeys，只要建立一次，就能使用原先設定的認證方式登入。

FIDO聯盟也有相關進展，他們在10月14日發表新的規範，主要將制定憑證交換協定（CXP）與憑證交換格式（CXF），目的是推動憑證的可攜，也就是促使不同的密碼管理員或生態系統間，能讓憑證安全交換。

這也顯示出，當前的Passkey應用其實仍未完善，而這些新的發展動向，一旦可以打通這些隔閡，將能再次加速Passkey的採用，並且進一步改善用戶體驗。

此外，最近還有科技大廠Amazon發布新的消息，原先他們已在自家的電商網路服務，提供Passkey登入的支援，如今更是打算在即將到來的2025年，積極促成旗下更多應用及服務都能支援Passkey。

 Google推出跨平臺Passkey同步新能力，擴展一組通行密鑰的使用侷限 

9月Google用戶可跨平臺同步使用Passkey，我們也試著體驗其效果。

以支援Passkey無密碼登入的露天市集網路服務為例，當我們在露天市集App申請啟用Passkey後，會在手機端建立並於Google密碼管理工具儲存一組Passkey。

接著我們到Windows電腦操作，在登入Google帳號的Chrome瀏覽器的環境，開啟露天市集網站服務，並且選擇Passkey無密碼登入。此時，介面會跳出「使用已儲存的ruten.com.tw密碼金鑰（通行密鑰）」，點選來自手機型號的那組Passkey，隨後手機會跳出使用螢幕鎖定功能的畫面，通知將使用ruten.com.tw的通行密鑰，此時，我們使用手機原先設定的指紋辨識或人臉辨識，就能以免輸入密碼方式，直接在電腦上登入露天市集會員帳號。攝影／洪政偉

 用戶可以設定多組通行密鑰，期待日後打通生態隔閡 

關於通行密鑰（Passkey）的應用，我們常見到相關的文件說明或介紹，會以a passkey或passkeys來稱呼，顯示平時使用的通行密鑰，可以有很多個。

以提供FIDO快速登入的可樂旅遊網路服務為例，當我們在Windows電腦上，以Chrome瀏覽器開啟可樂旅遊網站，可以在電腦端建立並儲存1組Passkey，並且將這組Passkey置於Windows Hello。若要達到這樣的使用效果，用戶需注意電腦本身是否支援Windows Hello與Passkey。

另一方面，當我們在手機登入可樂旅遊App，也能在手機端建立並儲存1組Passkey、置於Google密碼管理工具。

因此，之後當我們在電腦網頁版使用免輸入密碼的快速登入時，介面會跳出「使用已儲存的www.colatour.com.tw密碼金鑰（通行密鑰）」，接著在這部裝置的選項中，會出現來自Windows Hello的1組Passkey，而在其他裝置的選項中，會出現來自手機型號的1組Passkey。

有了這兩組Passkey，都可以讓使用者以無密碼方式登入其會員帳號。隨著之後不同密碼管理員或生態系統間的隔閡，將會被打通，或許屆時用戶在同一服務就不用建立多組Passkey。攝影／洪政偉

 相關報導