網路時代以來,大眾已習慣為自己的數位帳號設計一組由「數字、英文字母」等符號組成的傳統密碼。當使用者打出正確的密碼,便等於是「驗證」了其為數位身份的擁有者。隨著近年網路服務大幅興起,每人擁有的帳戶數量水漲船高,如何幫助用戶管理「身份密碼」便成為新趨勢。
不只是消費者端,在更注重資安和資料外洩的企業端場景,也擁有著龐大市場,特別在疫情後,遠距工作需求上升,企業資安更備受重視。根據 Statista 的預估,密碼管理市場在 2025 年將達到 30 億美金的規模,成為新的機會點。
若回首傳統密碼的發明,其實已是三十年前的產物,既無法符合當前的資安標準,也無法滿足當前網路用戶使用習慣。事實上,傳統密碼的設計正是當前世代的資安主要問題來源,超過 80% 的資料外洩問題是因為用戶設置了過於簡單的密碼。
而在另一方面,許多網路服務具有極高滲透率的現在,「以用戶帳號為中心」也成為新型態的主流登入模式。舉例來說,Facebook 等網路巨頭提供的「單一登入SSO(Single Sign-On)」服務,可以直接透過 Facebook 的帳戶登入第三方服務。儘管方便, SSO 卻也提高了對原本帳戶的密碼安全性要求,同時還增加了中心化科技大廠管理用戶身份帳號密碼的單點故障風險。就連 Facebook 也曾因 SSO 相關系統漏洞,導致在 2018 年時爆出將近五千萬用戶的資料外洩問題。
正因為傳統密碼及 SSO 所衍伸的諸多問題,許多大廠正試圖「消滅傳統密碼」,希望可以透過非傳統密碼的驗證方式,來驗證用戶是否真的擁有該數位身份,而中心化企業組織也不再需要擁有用戶的帳號密碼資料庫。
舉例來說,Apple 日前宣布推出 Passkey 功能,將用 TouchID 或 FaceID 等生物特徵,來產生一組存放在使用者裝置端的私鑰,並透過 iCloud 同步不同裝置上的私鑰,且此組私鑰連 Apple 都無法存取,這讓使用者未來不再需要密碼、只需透過生物特徵即可登入。其他常見的無密碼驗證方式還有連結登入(Magic Link)、一次性密碼(One-Time Password, OTP)、驗證器 App 訊息推播(如:Google Authenticator)等方式。
此類新型態的無密碼數位身份驗證,即將成為當前數位時代的關鍵底層建設。無密碼驗證的推動,除了大幅提升用戶使用體驗,也大幅減少了用戶被釣魚、密碼資料庫外洩的可能性,降低資安風險。不過雖然 Apple,Microsoft 及 Google 等巨頭都積極宣布支持由 FIDO 聯盟所研擬的無密碼標準,但如何讓無密碼驗證成為可以「跨生態系」的驗證方式(像是未來 Apple 體系的 Passkey 也能同時在 Windows 生態中使用)仍是一大挑戰。
同樣的數位身分驗證難題,在去中心化應用的場景中更是一大痛點。當過去的帳號、密碼轉換成錢包地址、私鑰與助記詞,已經大幅加深了使用者的保管難度,遑論目前區塊鏈公鏈生態百家爭鳴,當使用者接觸不同的去中心化應用程式時,還得先研究不同錢包的註冊與使用方式,再分別記下每個錢包的助記詞和私鑰。許多使用者光在註冊這一步就已經打退堂鼓,造成高比例的用戶流失,也是區塊鏈應用難以快速推展的原因之一。
心元資本於 2020 年投資的新創公司 Magic,就將無密碼身份驗證服務結合區塊鏈技術,打造讓使用者能夠無痛註冊登入去中心化應用程式的解決方案,且支援超過 20 個公鏈。當各式去中心化應用程式整合了 Magic 的無密碼驗證服務,使用者只需電子郵件、社群平台帳號等大眾所熟悉的方式即可登入使用,大大地降低了進入門檻。目前,在全球已有超過一千兩百萬人使用 Magic 的產品進行身份驗證及登入。
隨著網路服務在生活中扮演的角色更加吃重,人們需要管理的帳號密碼數量也會等比增加,可以預期的是,對身份驗證和密碼管理的需求也將有增無減。不過,在科技巨頭和新創的努力下,相信我們距離那段默背密碼、或因記錯密碼導致帳號被鎖住的日子,已經越來越遠,大腦記憶體也得以從此被解放!
本篇文章授權刊登於《數位時代》專欄