英國國家網絡安全中心(NCSC)建議以通行密鑰取代密碼
導言
英國國家網絡安全中心(NCSC)發佈經修訂的建議,呼籲用戶採用通行密鑰(passkeys)作為數碼服務的主要認證方式,實際上在通行密鑰可用的情況下,不再推薦使用傳統密碼。此項變更反映了一項評估,即密碼在應對當代網絡威脅方面韌性不足。
正文
NCSC 於星期四作出的宣佈,標誌著刻意脫離數十年來依賴密碼保安的方針。該機構表示,通行密鑰——一種無密碼認證形式——應成為消費者在所有數碼平台上的首選。通行密鑰作為一種數碼憑證,儲存在用戶裝置上,透過公開金鑰密碼學生成。與密碼不同,通行密鑰無法經由網絡釣魚攻擊被盜取,因為登入過程中不會傳輸任何秘密訊息。相反,認證在裝置層級進行,使用生物識別方法(例如面部識別或指紋掃描)或裝置 PIN。每個通行密鑰對特定網站或應用程式而言都是獨一無二的,即使服務的數據庫被入侵,儲存在裝置上的私鑰仍無法被攻擊者存取。 通行密鑰的採用已在各大平台增長。Apple、Google 和 X 已支援該技術,Google 報告指其英國用戶中僅略多於 50% 已註冊通行密鑰。推廣無密碼認證的行業協會 Fido Alliance 表示,通行密鑰現已獲所有主要操作系統、瀏覽器以及第三方供應商支援。英國政府亦於去年將通行密鑰整合至其數碼服務中。NCSC 承認,此前因實施挑戰及支援不均而未有背書通行密鑰,但現認為這些障礙已大致解決。 專家對這一轉變的評論較為審慎。NCSC 高級技術專家 Dave Chismon 指出,密碼從來都不是完美的解決方案,因為額外的保安措施(如雙重認證)增加了用戶負擔,同時仍易受網絡釣魚攻擊。他形容通行密鑰對用戶而言更快捷、更簡單。NCSC 國家韌性總監 Jonathan Ellison 將通行密鑰描述為一種用戶友好的替代方案,能提供更強的整體韌性,並減輕記憶密碼的認知負擔。然而,部分網絡安全專業人士警告,通行密鑰並非萬能藥。BCS(英國特許資訊科技學會)的 Daniel Card 觀察到,遺失裝置或無法存取裝置可能令通行密鑰配置變得複雜。薩里大學(University of Surrey)網絡安全教授 Alan Woodward 指出,雖然面部識別已透過活體檢測有所改善,但風險依然存在——例如家庭成員或伴侶知道裝置的 PIN。他強調,保持 PIN 保密是一項明顯的防禦措施。 NCSC 亦重申了更廣泛的網絡安全衞生建議。在通行密鑰不受支援的情況下,用戶應使用密碼管理員來生成及儲存強大且獨特的密碼,並啟用多重認證。其他建議包括定期更新應用程式及操作系統、避免可疑電郵及連結,以及切勿在不同網站重複使用密碼。弱密碼(如「123456」及「password」)的持續存在被強調為一項持續的漏洞,凸顯了轉向通行密鑰的理由。
結論
NCSC 的建議代表了認證策略的重大演進,優先考慮通行密鑰作為比密碼更安全且更用戶友好的替代方案。雖然並非沒有局限——例如依賴裝置存取及需要廣泛的平台支援——但主要科技公司及政府服務的日益採用顯示出邁向廣泛實施的趨勢。建議用戶在可行情況下採用通行密鑰,並在所有其他情況下維持穩健的網絡安全衞生習慣。