Passkeys 作為替代傳統密碼的創新技術,因其高度安全性和反釣魚能力,一度被視為顛覆現代身份驗證的解決方案。近日,科技網站 Arstechnica 的一篇文章指出 Passkeys 的問題。這項技術暴露出諸多不足,包括平台間體驗的不一致性、標準化的缺失、操作流程的複雜性,以及用戶透明度的不足。雖然業界對 Passkeys 的支持日益廣泛,但這些問題讓它暫時無法取代傳統驗證方式,對普及化帶來不小挑戰。
1. 平台間不一致的用戶體驗
Passkeys 本應是更安全、更方便的驗證方法,但目前的實施導致不同平台間用戶體驗不一致。例如,在 Windows 和 iOS 上使用 Passkeys 登入 PayPal,操作流程完全不同;若使用 Firefox,PayPal 則完全不支援。此外,同一帳號在不同瀏覽器間的使用流程差異,也讓用戶感到混亂。
2. 缺乏互通性與標準化
即使 Passkeys 基於 FIDO2 和 WebAuthn 規範,但許多網站和應用仍無法實現標準化。例如,當用戶在 LinkedIn 上建立一組 Passkey 時,該 Passkey 被標示為僅適用於創建它的瀏覽器和作業系統,導致用戶難以追蹤與管理這些憑證。
3. 強制引導與選項隱藏
一些平台在用戶選擇 Passkeys 或其他憑證時,強制引導其使用特定供應商的解決方案。例如,在 macOS 上使用 WebAuthn.io,若用戶希望註冊實體安全密鑰,系統會優先推薦建立 Passkey 並同步至 iCloud,甚至需要經過多層選單才能找到安全密鑰的選項。
4. 缺乏透明的操作流程
在某些情況下,用戶無法清楚了解 Passkeys 的工作方式。例如,當在 Firefox for Android 上登入 LinkedIn 時,出現的提示來自 Google,但該提示的內容並未明確說明其功能或選擇背後的意圖,容易讓用戶陷入混亂。
總結
Passkeys 雖然在安全性上優於傳統密碼,但現階段的實現仍面臨多重挑戰,特別是在用戶體驗和生態系統互通性方面。要讓這項技術真正普及,開發者和平台需要進一步簡化操作流程並加強標準化,使其符合「方便即安全」的理念。
