密碼怕被盜？乾脆不需密碼的驗證方式反而更可靠？ Passkeys 甩開帳密規則

我是工程師，雖然我覺得這影片解釋原理的部分對一般人應該還是有點硬，不過我可以理解這東西要解釋得清楚又要不失專業，確實很難XDDD

剛讀完計算機概論沒多久的我完全知道在講的概念是什麼
而且比課本更好懂
讚讚

其實也不是什麼新技術，主要就是手機要有安全密鑰儲存區，其實也不是什麼新東西，其餘就是RSA，​ "找回密碼攻擊"一樣有效，手機丟了存在硬體儲存區的私鑰當然也丟了，如果服務方還是提供其他找回密碼的方式(例如寄email重設)，那其實沒有提升任何安全性，除非像加密貨幣冷錢包一樣，丟了就什麼都沒了，除非你當初有抄下復原碼而且沒丟，但這門檻對現代人來說比天還高。

複雜的密碼最後都變成同一組真的很有同感，自己都記不住的密碼根本沒意義呀

看到QRcode那段就想到中間人攻擊，不愧是泛科學有想到要解釋這塊，使用藍牙連結來驗證真巧妙！（雖然小麻煩😅

B，密碼記太多，變成寫在紙上OR存在手機裡頭...有的智障網頁或程式還要求幾個月改次密碼，登入錯誤還會說我輸入的是之前的密碼，也不想想誰讓我一直改的，超奇妙...

題外話，現在的 HTTPS 就是用公鑰加密對稱式金鑰，再用對稱式加密訊息，因為公鑰加密資料比對稱式加密慢了幾千幾萬倍

裝置遺失或忘記密碼時，需要用回「原本較不安全的驗證方式」，這也是駭客偷取資料的主要途徑

樂觀其成，現在的密碼組成機制對於提升駭客盜取難度並沒有多大幫助，卻對使用者造成很嚴重的困擾
話說經常發生的 Google 帳號 / TH-cam 盜用事件的漏洞也不是密碼被破解，而是 cookie 有漏洞，換句話說就算密碼這關安全了，也還有其他方法能繞過驗證機制進行盜用

曲博曾說過這個話題，簡單來說就是原本是輸入號密碼給雲端辨識再傳結果回終端(手機)，現在改為終端辨識，少了傳輸過程就少了攔截破解的機會，但個人認為終端若是重後門程式一樣會被破解，且現在的生物辨識很不精確

印象深刻的數位鑰匙
第一次使用時根本手忙腳亂，基本原理顛覆傳統。
了解流程後是挺方便的

受害者之一來了，還好正在用手機馬上發現，12分鐘被刷了NTD 6.5W

我記得有看過類似的介紹公私鑰的文章，還是能暴力運算破解，只不過要付出的成本很高，大部分情況下不划算而已

推password manager
現在我在用的是unix pass，個人覺得很安全也很方便

讚，感謝科普

B. 終於可以不用記一堆密碼，輕鬆多了!😆

5:18 "所使用的密碼並不會被直接用明文來儲存"
很多魔幻公司：恩，有意思，下一位

我的指紋辨識每過一段時間就要更新一次，舊的會漸漸辨識不出來。passkeys理論上會比較安全，但也可能會造成我新的困擾。如果重設新指紋的方式不夠安全，反倒會產生弱點，兩難啊。

好厲害的講解

雖然密碼被盜用的可能性已經很低了，但我認為這種方式被盜用的可能性低很多，又更有便利性(前提是辨識不會出錯)。

比安控廠商PM講的還容易懂，讚讚

這樣說來，以後也許不能再任意在外吃東西
如果有人在觀光區開了一個臨時飯館
沒有裝潢那種
然後只要有落單或是極少數的客人
將安眠藥加進去將所有人迷暈
就能將受害者的資產全部轉移
每作案一次換一個觀光區

听了那么多原理和metamask钱包大相径庭，基于区块链的技术打造passkey。便利性倒是挺诱人的❤

我一定馬上用，方便太多了!

A，因為我覺得不可能換。這相當於用指紋解鎖手機，然後用手機解鎖所有東西。這樣只要手機或任何一台驗證裝置被攻破了，就相當於所有東西都攻破了。而且手機丟失會非常非常麻煩。本人就有換手機後遇到各種麻煩問題的經歷（密碼記得都無法登陸，因為OTP收不到，他們又沒實體店，只能放棄帳號了）。本質上來講這個問題是無解的，因為一旦太複雜，就會有客戶自己都用不了的情況出現。

2:40 真的不管是誰介紹非對稱性加密 都會有Alice跟Bob XDDD

我一直想要清楚定義所謂的無密碼到底是做到哪裡
1. 是登入的時候不需使用密碼？還是用遠都用不到密碼了？
2. 首次使用需要註冊行動裝置，是不是仍需要使用密碼來驗身？
3. 以Windows AD為例，登入Win時使用Passkeys做無密碼驗證，那使用不同身分以RDP, Samba等協定存取遠端電腦建議如何驗證
4. 如需符合資安規範，密碼需定期更換，是否使用Passkeys之後就不必變更了？或者根本不具備密碼這欄位了

Key登入是個好東西

之前設定GOOGLE兩階段時就有看到無密碼的選項，然而當時不了解這甚麼東西就沒理他。了解後有意替換成Passkey登入，但由於是生物驗證身分，等到換新手機在說吧，i6s指紋有點不放心。

C.簡單一句話
道高一尺，魔高一丈

這告訴我們，要用特別的那一支當其中一個指紋XD

還有一個問題
如果私鑰是放在手機
那也就是只要駭客有讀取我手機資料權限
那就可能繞過限制查看私鑰
尤其大部分的程式 都會要求這個權限
而且這個權限是一開全開
只要開放了就能全部都看
而不是只能在某個資料夾或是某個硬碟區塊裡面運作…
當然這個私鑰可能也有某種預防破解的辦法啦

👍passkeys方便多了，不必再记这么多的密码了。

就結構來說是挺安全又粉方便，但...並不是所有行動裝置都有支援指紋辨識或其他的生物辨識，再加上跨平台...PC上沒有指紋辨識器丫(高階或商用NB部份有)😅😅😅

當然是選擇選開源的專案
自架密碼管理Server+Passkeys support
私鑰跟密碼還是要自己保管 不想給雲服務商

這很像古代，公章跟私章

雖然很心動，可是生物認證真的超不方便，有更簡單準確的方法就更棒了

生物驗證就是最好的驗證裝置
簡單來說就是用手機生物驗證功能來確定是不是本人。
一開始先設定好讓手機知道這個人是我，然後開放給企業刷卡用，只要手機確定是我企業就會讓我刷卡或登入。
這種機制不錯，不會被盜用生物資料
反正先試試看吧，希望未來連公務單位都可以省去身分證健保卡

現階段被破解的都是直接繞過
根本沒人再硬剛了

更多時候駭客會直接攻擊網站伺服器，根本不會直接對使用者進行攻擊

其實多數網路的危險都在於公司的爛系統，而非使用者這一端。
不管是要求複雜密碼、等同於不加密的伺服端、還是根本沒在系統維護的老闆，應該立法只要公司行號的網路出現危險，公司董事長總經理主管等階級，通通用詐欺、公共危害、殺人等刑法罪嫌起訴，保證整個數位安全還擊會大改善。
最有名的爛網路安全就是台灣銀行

看過一部電影還是美劇，不記得名字了，只記得有一幕中，主角把手機螢幕去照一個屍體的臉，然後用他的手指登入手機。防不勝防。

未來登入失敗請使用「找回我的拇指」服務

講半天好像沒有講到Passkeys和Authenticator app有什麼不同？前者會比後者安全嗎？

設備丟了,找回密碼機制一樣需要記得當初設定的一些問題和答案,也很麻煩
要不就是個人的生物特征會儲存在對方的服務器上,那就更不安全了

問題在普及速度

生物特徵是不錯!但......因為工作性質,導致生物特徵無法被辨識的狀況還是有的,有一段時期因工作內容導致,我無法用此方式登入我的裝置,最後還是需要依靠密碼登入

最大問題是如果裝置只有一台，遺失就沒了，或是使用FACEID臉部卻因事故毀容、使用指紋卻因事故失去手等等。

C.道高一尺魔高一丈，還是會被找出弱點

讲到这个话题，
就想到上海世博会时候到工商银行开了一个账号。
那时候给了一个小机器，像计算机，想网路汇款就需要输入一个验证码，这个机器就是产生验证码的。必须在一定时间内输入。转账才会成功。意思跟现在台湾一些银行，支付系统用的OTP 意思差不多。视频主现在说的用指纹解锁什么的，意思都跟银行保险箱必须有兩支钥匙同时打开才行功能差不多。
逻辑思考模式其实没有多大的改变，能够做到的防止被盗用的作用，
碰到行家/骇客就相当于开放钱包让他们自取。
现在那一个密码机10几年没用，
已经没电，
想用可能需要大陆的银行跑一趟，
可以说劳师动众，不是一般的麻烦。
不要说银行等与金钱相關的网站需要你定时换密码，
但是自己有超过50个网站密码，ID。。。需要记忆，
怎么可能定时变更。
保密工作，想做的大家都会做，
网路小偷就不会做吗？
有时候最简单的方法，
也许就是最好的方法。

其實信箱OTP沒問題
有問題的是信箱的安全
因為基本你的google有用F2A(2FA)
手機線上二步驗證
就不會被盜刷

三星也有類似的功能，Samsung pass

C. 我是資安人員，總覺得似乎還有哪裡不對勁

萬一舊手機突然壞掉了，感覺會很麻煩？

這只是在做身分辨識，私鑰沒了就沒了，重新產生一組公私鑰、更新公鑰即可，不至於有太大的災難。
另外驗證私鑰也不一定只能用生物辨識，比方說符合FIDO標準的KEY也能當認證私鑰。

不知道公司團隊的共享密碼的方案？我目前是用TOPT

那手機就身分．　目標就是盜取手機做為網路身分．你不在是你．你手機才是你～

我的指導教授就是主攻密碼學的，不得不說這門學科喔.....
真的超無聊的 😅 (全部都是數學
我能畢業只能說是僥倖.....

8:17 這個很危險，不管是哪個作業系統平台都不值得你給予這麼大的信任

一個鎖能被許多鑰匙簡單打開，稱為爛鎖
但一個鑰匙能打開各種鎖，我們卻將之稱為萬能鑰匙？
嗯⋯我在說啥啊⋯

裝置壞了會很麻煩...

對有富貴手的人，不管指紋解鎖有多方便都無感🥲

👍🏻

所以最後那段的安全，才是黑客常用的做法，
直接HACK 安卓手機或JB的IPHONE，
或扮成供應商用遺失需用OTP的方法盜取帳戶

台灣金融業還在用帳號密碼登入方式才是需要令人擔心。既古老又容易釣魚的登入方式。

但駭客只要不攻擊伺服器轉攻擊使用者帳戶就一樣可以破解，而在資安意識低落的台灣，這容易很多。
看到有案例使用備援信箱向Google 請求找回原帳號，卻連備援信箱都被盜走的悲劇。

這會不會要讓一個人最多19個小帳？

會吧，總筆記一堆高難度密碼，很累，還常常忘記

會

這樣的話
其實只要攻破大公司防線
這樣不就拿到所有私鑰
會不會造成大公司壟斷之類的
而且如果指紋發生變化就很麻煩
我手機指紋辨識就是，手磨到毛毛的就會辨識不了

8:15 駭客:我知道該在什麼地方下手了

道高一尺魔高一丈，現在或許可以，很快就會被駭客找到突破口

在這些之前，台灣許多公司還停留在明碼……

駭客就要改找到生物驗證的破解法

這東東 加密貨幣產業早就在用了 最好趕快習慣

後半段才是密碼被盜取風險：服務器儲存private passkey 以便用戶還原至另一個手機。。。

一提到public key / private key, 很多人就難理解個中原理

我家我跟我媽手機指紋都按不太出來，桃機的自動通關也採不到指紋，只能用人臉單一辨識，用手機支付時很不方便

這跟區塊鏈怎麼有點類似

所以原理上和使用網上的密碼管理器，或者使用瀏覽器幫你生成的隨機密碼好像不差太多🤔
感覺主要加強的安全性應該是在綁裝置這個部份？

新漏洞被發現利用速度遠比漏洞修補還要快 通訊技術發展近年來非常快速 但未考慮資安的問題就先搶先上市 內部測試時間與項目不足 現況是發現漏洞後才開始漏洞修補 然後請消費者儘速更新...... 消費者只是拿來當成白老鼠 新技術帶來方便也帶來更多漏洞可攻擊

比特幣有個實體的電子錢包大概就是這個

會,我就懶

我有個問題，很常時候駭客並不是透過帳號密碼這種方式駭入帳號的，且能繞過2次驗證，在此前提下，往後的駭客是否也能直接盜取私鑰資訊，如同原使用者同步雲端的方式駭入？

有個疑問，私鑰存在手機，那如果換手機時是做二手機賣掉，不就流出了嗎？

雖然不同，但也有點類似去中心化的技術呢
其實去年開始我就在使用google提供的自動亂數密碼了
更早前就有這個服務，但不知為何以前經常有儲存跟套用的問題
但後來變得比較穩定後，我就很少在自訂密碼了

生物辨識
指紋留存的圖樣 不會被盜嗎

很多銀行的郵件傳輸根本沒加密 事先知道信箱 opt被拿走也不是不可能

等於是把鑰匙放在大公司手裡，雖然是蠻方便的　哈哈

便利是便利
然而一旦遺失手機，帳號就只好清空重來了

密碼加生物認證才是最安全的
只用指紋的話,當手機主人被挾持時就什麼也沒有了！

當然是B，可以擺脫一大堆密碼

沒有流行的真正原因是..... 電腦端專用指紋識別裝置那片玻璃是消耗品, 用久了就會感應不良, 手機沒用過不知道, 手機廠商會很高興, 繼電池之後又找到了可以讓使用者定期買手機的漏洞, 指紋感應不良~~~~ 🤑

9:31 我的答案會是C,因為是新的,還不確定整體狀況~

感覺是更方便了，但好像沒有比較安全，
像是裝置遺失後的處理方式，跟之前沒有什麼差別，
而很多駭客是從這方面著手盜用的

我怎麼覺得還是哪裡怪怪的~
如果今天我"指紋"的這個密碼被盜用怎麼辦呢?

藍芽連結，用定位鎖定，再變更遠端位置到附近，再駭入，防得了嗎？

但RAS加密很慢，這也是為什麼近年才有
像WhatsApp 之類的加密其實只用RAS加密一半左右

密碼難記我覺得主要是安全的密碼是無規律的，而無規律正是和人類的記憶方式衝突，我想到的辦法是用符合人類記憶的方式寫出密碼，然後把符合人類記憶的密碼通過加密再生成一組無規律的密碼，加密的演算法可以每個人自定，這樣人類只要記住容易記的就行，無規律的密碼就交給自定的演算法

最大的問題還是session cookie 被盜用