密碼走向歷史？「無密碼時代」全面來臨，提升安全與便利新標準

全球資安事件頻傳，密碼洩漏成常態。「無密碼時代」正全面來臨，透過指紋、人臉辨識、Passkeys、NFC 等驗證方式，不但更安全也更便利。本文深入解析無密碼的運作原理、應用趨勢與企業實務部署建議，帶你搶先迎接無密碼新時代。

從電子郵件、社群平台到線上銀行與企業系統，幾乎所有服務都要求使用「密碼」。然而，密碼也成為駭客攻擊的頭號目標，頻繁的洩密事件與駭客攻擊讓用戶和企業疲於應對，民眾也在頻繁更換密碼中逐漸迷失。最近，還發生「160 億筆帳密外洩」的單次事件，遭外洩的平台橫跨 Google、Apple、Facebook、Telegram、GitHub、政府網站等多個重要平台 。在這樣的背景下，「無密碼（passwordless）」時代正加速到來，主張以更具效率與安全的方式驗證身分——不再依賴過去那些容易被破解、重複使用或遭竊的文字密碼。

近期密碼外洩事件頻傳

• 160 億帳密大洩案（2025 年 6 月）：爆料集中來自 30 個資料集，內容遍布 Apple, Google, Facebook, Telegram 等平台，並且大部分是從未被外洩過的新資料。
• 2025 年 5 月 1.84 億筆密碼事件：此事件由資安研究人員 Jeremiah Fowler 披露，該資料庫約含 1.84 億筆憑證，遍布電子信箱、社群平台、遊戲服務等，部分甚至包含 .gov 之類政府機關的帳戶

這兩起事件還不是今年發生的唯一兩起帳號密碼外洩事件，例如今年還有許多台灣醫療院所遭駭，以及日本的個資外洩事件創歷年新高等外洩威脅，這些外洩的資料可能被放置暗網上販售，並且被用於身份盜用、詐騙與勒索威脅。

為什麼世界開始擁抱無密碼？

1. 密碼的先天弱點
   • 密碼容易被猜測、重複使用或儲存在不安全的地方。研究指出，2024 年有高達 88% 的網頁攻擊是利用「偷來的帳號密碼」進行的 。
   • 使用者往往傾向簡單且重複使用密碼，導致一旦外洩，攻擊者能橫跨多平台進行「憑證填充（Credential stuffing）」，也就是使用外洩的一組帳號密碼嘗試登入不同的平台，例如Facebook, Google, 政府網站等等。
2. 通用密碼外洩事件頻繁
   • 2025 年 6 月，就爆出史上最大規模的登入資料外洩案──160 億筆帳號密碼外洩事件，至今已發現 30 組外洩資料集，除了 5 月已提及的1.84 億筆資料，其餘都是過去從未曝光的新數據。
   • 這些資料可能用於身份盜用、詐騙、勒索、甚至進一步滲透企業網路以盜取商業機密或是更多的個人資料 。
3. 政府與大企業倡議轉型
   • 多個國際組織與大型科技公司（如 FIDO Alliance, W3C 等）透過標準（如 WebAuthn、FIDO2）推動「通用無密碼驗證」，包括 Google、Apple、Microsoft 都已支援 Passkeys、Windows Hello 等無密碼驗證方式。
   • 歐盟 PSD2 與多國的驗證法規也傾向採用「強化的安全驗證」，除了強制MFA提高安全性，也進一步促進無密碼技術的普及。

因此，「無密碼時代」不是潮流，而是必要的升級選擇——要全面改善使用者便利性，同時減少安全風險。

無密碼的主要驗證方式

下述都是常見的無密碼（passwordless）驗證方式，透過「不記憶內容」或「不重複使用密碼」，大幅降低竊盜可能：

1. 生物特徵

• 指紋掃描：智慧型手機與筆電已普及；安全性高、使用自然、迅速 。
• 人臉辨識：如 Apple Face ID、Windows Hello，辨識快速且現今大多可抵禦照片攻擊，也就是攻擊者利用偷拍的方式或從網路社群媒體下載合法用戶的臉部照片，並利用高解析的印表機印出照片或者直接使用手機螢幕，在人臉辨識系統的感測器前顯示合法用戶的臉部影像。
• 虹膜/視網膜掃描：開發ChatGPT的OpenAI，推出WORLDAPP結合虹膜辨識儀器ORB，近期進駐台灣，使用虹膜驗證真人身分，然而虹膜屬於「特種個資」，除非有明文授權，否則不得任意蒐集和使用。
• 其他生物特徵：聲紋、掌靜脈、步態等正逐漸應用在未來場域。

2. 密鑰 & 公私鑰體系

• 公鑰（Public Key）：公鑰是一個可以公開分享的金鑰，常用於加密數據；私鑰（Private Key）：私鑰是一個必須由使用者自行保密的金鑰，常用於解密由公鑰加密的數據。
• 透過 WebAuthn / FIDO2 標準，設備內生成私鑰並本地儲存，用戶以生物辨識或 PIN 解鎖即可驗證身份。

3. 擁有裝置

• 硬體安全金鑰：USB/NFC Key（如 Yubikey）配合 FIDO2，可抵禦釣魚與中間人攻擊 。
• NFC 裝置：智能卡或是手機靠近即授權登入。
• 授權 App：在登入時透過app例如Keypasco發送驗證訊息到已經授權的裝置，並由本人點擊確認登入行為或是通過上面顯示的一次性密碼進行確認登入。

無密碼部署：現況與趨勢

1. 大廠帶頭推動
   • Microsoft：新帳號預設採無密碼，改用 passkeys、通知推播與安全金鑰，並將「World Password Day」改名為「World Passkey Day」。
   • Google / Apple：早在 2022 年就支援通行密鑰（Passkeys），並整合至信任裝置與瀏覽器雲端金鑰同步機制。
2. 政府支持帶動普及率
   • 英國政府與 NHS 已計畫於 2025 年底全面部署 passkeys 於公務系統及數位服務，英國國家網路安全中心(NCSC)國安局視為「終結密碼的起點」。
   • FIDO Alliance 發表數據指出：74% 受訪者知曉 passkeys、69% 已啟用過至少一個passkey帳戶、38% 的人則是盡可能使用與開啟passkey。
3. 企業與商業應用落地
   • 根據 Descope 等報告，許多組織在使用passkey之後觀察到客服請求重設密碼數量劇降、詐欺案件減少、購物轉換率提升，同時 IT 管理效率大增。
   • FIDO 報告指出，48% 全球前 100 大網站已支援 passkeys，比 2022 年翻倍以上。

密碼這個存在幾十年的驗證方式，即將被更安全、更便利、更抗釣魚的方式取代。隨著大廠、政府與企業陸續擁抱無密碼，本質上為使用者與企業帶來：

• 🔐 更堅實的安全基礎：密碼不再是攻擊者的目標，不再被竊取、重複利用。
• ⚡ 更順暢的使用體驗：免輸密碼的登入方式，減少登入錯誤與時間。
• 💸 更低的硬體與支援成本：少重設、多效率。
• 📈 更高的合規與市場競爭力：領先同行、打響品牌信任力。

這場「無密碼革命」已不再只是概念，而是資料洩漏、釣魚與勒索攻擊浪潮下的產物。在全民關注資安的當下，「密碼正逐漸走入歷史」，推動「無密碼時代來臨」。若您還未啟動無密碼計畫，就該從今天開始思考：下一步，您要不再使用密碼了嗎？

Keypasco FIDO

Keypasco FIDO 是來毅數位科技推出的多因素身分驗證方案，整合 FIDO2 與 FIDO UAF 標準，提供高安全，無須密碼的登入體驗。

• 採用 FIDO2 全球標準，有效降低密碼管理負擔。
• 無密碼驗證結合多重驗證因子 : 除了 FIDO 標準的驗證方式，還整合設備指紋、地理位置、生物特徵等技術，提供更高層級的安全防護。
• 移轉設備簡單安全 : 用戶能透過 NFC 裝置快速、安全地移轉認證設備。

Keypasco FIDO，只有經過授權的使用者，能從綁定裝置、於指定位置和時間登入。該系統採用獨家專利的雙通道認證架構，登入與認證加密通道分離設計

能有效防堵中間人攻擊（MiTM）、瀏覽器中間人攻擊（MiTB）、釣魚詐騙與帳戶接管（ATO）。目前此服務已廣泛應用於金融機構及企業，為數百萬用戶提供安全、便捷免密碼的登入服務。