安全指南

Passkeys 與密碼的比較

比較 passkeys 與密碼，包括防釣魚能力、復原方式、裝置信任度，以及何時仍需要強密碼。

摘要

Passkeys 使用公開金鑰密碼學，能降低釣魚風險，因為私鑰不會輸入到網站中。密碼是共享的秘密：如果你在錯誤的頁面輸入密碼，它可能被擷取。當服務良好支援 passkeys 時，它們可以成為更強的主要登入方式。

為什麼密碼仍然重要

許多帳戶仍保留密碼備援、復原密碼、應用程式密碼或舊裝置。如果帳戶仍附有密碼，該密碼仍應長、隨機、唯一，並在可能的情況下以 MFA 保護。

復原是安全的一部分

Passkeys 依賴於裝置安全、同步供應商和帳戶復原。失去裝置存取權或依賴薄弱的復原管道可能產生風險。在適當情況下註冊多個復原選項，並保護用於復原的電子郵件帳戶。

實務建議

• 在支援且理解的情況下使用 passkeys。
• 保持任何密碼備援唯一且強大。
• 保護裝置解鎖方式。
• 檢視復原電子郵件和電話設定。
• 安全儲存復原碼。

詳細指引

本指南專注於比較 passkeys 與密碼在帳戶登入上的差異。對象是正在決定是否在提供 passkeys 時繼續使用密碼的人，因此實務目標並非提出戲劇性的安全主張，而是選擇一個能在日常使用中存活的密碼習慣：登入表單、密碼管理器、行動鍵盤、帳戶復原、共用裝置，以及偶爾遇到有奇怪驗證規則的服務。只有當真實的人能夠一致遵循時，安全的建議才有用。

最安全的起點是隨機性加上唯一性。隨機性意味著數值是由密碼學上合適的隨機來源從大空間中選出，而非來自生日、寵物名、鍵盤模式或喜愛的名言。唯一性意味著同一個密碼不會在其他地方使用。一個長但重複使用的密碼可能在一次無關的資料外洩後迅速失效，而唯一的隨機密碼則將損害限制在使用該密碼的單一帳戶。

針對這個主題，實用的預設是：在支援的地方使用 passkeys，在仍需密碼的地方使用強且唯一的密碼。你可以搭配 MFA 與強密碼指南 來應用這個預設，然後將最終值儲存在可信的密碼管理器中。PwdGen 使用 Web Crypto 在瀏覽器中本地產生數值；產生的密碼不會傳送到 PwdGen 伺服器。這種本地設計減少了伺服器端的暴露，但無法防範所有威脅。惡意的瀏覽器擴充功能、受感染的裝置、釣魚頁面或不安全的剪貼簿處理仍可能在密碼產生後暴露它。

最常見的問題包括：薄弱的復原方法、裝置遺失、帳戶鎖定、不支援的服務，以及假設 passkeys 能消除所有安全疑慮。這些問題之所以重要，是因為當人類習慣提供捷徑時，攻擊者很少需要暴力破解所有可能的密碼。憑證填充、釣魚、外洩密碼清單和帳戶復原濫用通常比純數學搜尋更實際。這就是為什麼最佳建議結合了密碼品質與帳戶層級控制，例如 MFA、passkeys、復原碼儲存，以及定期檢視復原電子郵件或電話設定。

在應用建議時，請使用以下檢查清單：

• 在主要帳戶上使用 passkeys（若感到舒適）。
• 保持復原選項安全。
• 對沒有 passkeys 的服務使用強密碼。
• 不要重複使用備援密碼。

如果網站拒絕理想設定，不要手動將密碼強制改為較弱的模式。一次調整一個變數。如果符號被拒絕，保留大寫、小寫和數字並增加長度。如果最大長度很低，使用可接受的最大長度並確保數值唯一。如果密碼必須大聲朗讀、列印或在電視或路由器螢幕上輸入，考慮排除易混淆字元並增加長度以補償較小的字母表。

最後，記住密碼建議的邊界。強密碼是一層防禦，而非保證。它無法讓釣魚頁面安全、修復惡意軟體，或補償服務儲存憑證不當。有用的習慣是無聊但持久：產生唯一數值、安全儲存、保護復原路徑，並在懷疑暴露時迅速更換。

安全的下一步

閱讀本指南後，進行一次小型帳戶審計，而不是試圖一次修復所有問題。挑選一個如果被接管會造成最大麻煩的帳戶，確認其密碼是唯一的，並檢查復原電子郵件、復原電話、MFA 方法和備份碼儲存。如果該鏈的任何部分薄弱，先改善該部分，再處理較低風險的帳戶。這個順序讓工作可管理，並保護攻擊者最可能用作跳板的帳戶。對於 passkeys 與密碼，最佳結果是可重複的習慣：本地產生、小心儲存、避免重複使用。

常見問題

Passkeys 比密碼好嗎？

Passkeys 能提供更強的防釣魚能力，但帳戶復原、裝置存取和平台支援仍然重要。

Passkeys 能完全消除密碼嗎？

並非所有地方。許多服務仍使用密碼作為備援、復原或相容性憑證。

在有 passkeys 的情況下，我應該使用強密碼嗎？

如果帳戶仍有密碼備援，請保持該密碼唯一且強大。